UNIVERSIDADE FEDERAL DO RIO DE JANEIRO

ESCOLA DE QUMICA






Ana Paula Alves Viana Melo





NVEL DE INTEGRIDADE DE SEGURANA (SIL)
INTEGRADO COM FATORES HUMANOS E
ORGANIZACIONAIS










RIO DE JANEIRO
2012

Ana Paula Alves Viana Melo






NVEL DE INTEGRIDADE DE SEGURANA (SIL)
INTEGRADO COM FATORES HUMANOS E
ORGANIZACIONAIS





Dissertao de Mestrado apresentada
ao Programa de Ps-graduao em
Tecnologia de Processos Qumicos e
Bioqumicos, da Escola de Qumica da
Universidade Federal do Rio de Janeiro,
como parte dos requisitos necessrios
obteno do ttulo de Mestre em
Tecnologia de Processos Qumicos e
Bioqumicos.






Orientador: Prof. Mrcio Nele de Souza, D.Sc.
Co-Orientador: Prof. Paulo Fernando Ferreira Frutuoso e Melo, D.Sc.






Rio de Janeiro

Maro/2012

Ana Paula Alves Viana Melo

NVEL DE INTEGRIDADE DE SEGURANA (SIL) INTEGRADO COM
FATORES HUMANOS E ORGANIZACIONAIS

Dissertao de Mestrado submetida ao Corpo Docente da Escola de Qumica da
Universidade Federal do Rio de J aneiro - UFRJ , como parte dos requisitos necessrios para
a obteno do grau de Mestre em Tecnologia de Processos Qumicos e Bioqumicos.


Aprovada por:

Rio de J aneiro

MELO, Ana Paula Alves Viana.

Nvel de Integridade de Segurana (SIL) Integrado com
Fatores Humanos e Organizacionais/ Ana Paula Alves Viana Melo.
Rio de Janeiro: UFRJ/ Escola de Qumica, 2012.
vi, _p.; il.
Dissertao (Mestrado em Tecnologia dos Processos
Qumicos e Bioqumicos) Universidade Federal do Rio de
Janeiro, Escola de Qumica, 2012.

Orientador: Mrcio Nele de Souza
Co-Orientador: Paulo Fernando Ferreira Frutuoso e Melo
1. Nvel de Integridade de Segurana (SIL). 2. Fatores
Humanos e Organizacionais. 3. Engenharia Qumica -
Dissertao. I. Nele, Mrcio. II.Frutuoso, Paulo. III.
Universidade Federal do Rio de Janeiro. Escola de Qumica.

AGRADECIMENTOS

Ao meu marido, pela pacincia, incentivo, companheirismo, carinho e amor
dedicados neste perodo de estudo, que foram essenciais para a concluso deste
trabalho.
minha famlia, em especial meus pais Ana Lcia e Luiz Carlos, minha madrasta
Marluzi (Mel), avs Teodolinda, Manuel e Narciso Raul, e minha irm Ana Luza pela
minha ausncia, pela compreenso, apoio e carinho de sempre.
Aos professores Mrcio Nele de Souza e Paulo Fernando Ferreira Frutuoso e Melo,
pela disponibilidade, dedicao e orientao cuidadosa e pela compreenso com
minha indisponibilidade de tempo.
Ao amigo Cesar Nascimento, por permitir e incentivar o meu desenvolvimento
profissional e a realizao deste trabalho. A ele e tambm amiga Juliana Schmitz
por estarem sempre dispostos a me ajudar e por partilharem seus conhecimentos
comigo.
Aos amigos da empresa que trabalho, em especial ao Osen Clever, por autorizar e
facilitar a parte experimental deste trabalho, ao Diogo Bellotti, por me apresentar aos
operadores e auxiliar na visita unidade de GNL. A todos os operadores que
participaram das entrevistas, fornecendo os dados utilizados neste trabalho.
A todos aqueles que direta ou indiretamente colaboraram no desenvolvimento deste
estudo.

MELO, Ana Paula Alves Viana. Nvel de Integridade de Segurana (SIL) Integrado
com Fatores Humanos e Organizacionais. Orientador: Prof. Mrcio Nele de
Souza. Co-orientador: Prof. Paulo Fernando Ferreira Frutuoso e Melo. Rio de
Janeiro, 2012. Dissertao (Mestrado em Tecnologia de Processos Qumicos e
Bioqumicos) Escola de Qumica, Universidade Federal do Rio de Janeiro, 2012.

Em muitas anlises de acidentes/incidentes os fatores humanos e organizacionais
vm sendo apontados como causas razes ou fatores contribuintes. Logo, no sentido
de agir preventivamente, muitas metodologias tm sido propostas em artigos
cientficos para a quantificao destes fatores nas organizaes.
Em funo do grande avano da eletrnica digital da ltima dcada, as indstrias
possuem cada vez mais sistemas instrumentados de segurana (SIS), que so a
instrumentao e controles instalados com o objetivo de trazer o processo, ou
equipamento especfico no processo, para um estado seguro. Porm, quando a
unidade posta em operao, esses SIS podem ser afetados negativamente pelos
fatores humanos e organizacionais presentes e podem tambm no atingir, na fase
de operao, o nvel de integridade de segurana (SIL) calculado na fase de projeto.
A metodologia de verificao dos fatores humanos e organizacionais na fase
operacional dos SIS analisada neste trabalho, atravs de um estudo de caso
realizado numa unidade em funcionamento de gs natural liquefeito (GNL). Com o
estudo de caso pde-se verificar qual(is) fator(es) humano(s) e organizacional(is)
mais impactam o SIS da unidade e, desta forma, agir preventivamente para eliminar
estes problemas identificados. Foi possvel tambm calcular o SIL operacional e
compar-lo o com o SIL de projeto.

Palavras-Chave: Fatores Humanos e Organizacionais. Sistema Instrumentado de Segurana. Nvel
de Integridade de Segurana.

MELO, Ana Paula Alves Viana. Safety Integrity Level (SIL) integrated with Human
and Organizational Factors. Orientador: Prof. Mrcio Nele de Souza. Co-
orientador: Prof. Paulo Fernando Ferreira Frutuoso e Melo. Rio de Janeiro, 2012.
Dissertao (Mestrado em Tecnologia de Processos Qumicos e Bioqumicos)
Escola de Qumica, Universidade Federal do Rio de Janeiro, 2012.

From many accidents / incidents analysis, the human and organizational factors have
been identified as root causes or contributing factors. Therefore, in order to actuate
preventively, many methodologies have been proposed for the quantification of these
factors in organizations.
Due to the advances of digital electronics over the last decade, industries have
increased the number of installed safety instrumented systems (SIS), which are
instrumentation and controls installed in order to bring the process, or equipment to a
safe state. However, after plant started up, these SIS may be adversely affected by
human and organizational factors and may not reach, at the operation phase, the
safety integrity level (SIL) calculated at the design phase.
The methodology about the control of human and organizational factors in the
operational phase of the SIS is applied in this work through a case study in a
liquefied natural gas (LNG) operational plant. Through the case study the human and
organizational factor (s) that most impacted the SIS in the unit could be verified and
thus, these problems could be preventively eliminated. It was also possible to
calculate the operational SIL and compare it with the project SIL.

Keywords: Human and Organizational Factors. Safety Instrumented System. Safety Integrity Level.

LISTA DE FIGURAS
Figura 1 - Sistema de Controle de Processo Bsico (Basic Process Control System)
X Sistemas Instrumentados de Segurana.......................................................................17
Figura 2 - FIS versus SIS.....................................................................................................18
Figura 3 - Ciclo de Vida de Segurana, IEC 61508.........................................................29
Figura 4 Atividades em detalhes para a fase de anlise do ciclo de Vida de
Segurana...............................................................................................................................30
Figura 5 Atividades em detalhes para a fase de realizao do ciclo de Vida de
Segurana...............................................................................................................................32
Figura 6 Atividades em detalhes para a fase de operao do ciclo de Vida de
Segurana...............................................................................................................................33
Figura 7 Modelo do Queijo Suio, proposto por Reason (2000)................................44
Figura 8 - Modelo do Queijo Suo de Causas dos Erros Humanos............................46
Figura 9 Viso Geral do TRIPOD...................................................................................48
Figura 10 Passos da metodologia proposta por SCHNBECK (2007).....................59
Figura 11 - Etapas de uma planta do tipo nivelamento de demanda (peak-shaving.)
..................................................................................................................................................65
Figura 12- Etapas de uma planta do tipo grande capacidade (base-load)..................67
Figura 13 Unidade de Liquefao do Gs Natural........................................................68
Figura 14 Diagrama de blocos de um sistema de regaseificao simplificado........69
Figura 15 Foto da destruio da cidade aps exploso..............................................71
Figura 16 - Foto do acidente de Fevereiro de 1973, Ilha de Staten, EUA...................73
Figura 17 - Foto do acidente de 19 de Janeiro de 2004, Skikda, Arglia....................75
Figura 18 - Taxa de peso dos fatores de influncia de segurana (WtRt)...................86

LISTA DE TABELAS
Tabela 1 - Nveis de Integridade de Segurana e PFD e RRF correspondentes.......20
Tabela 2 - Definio de Nvel de Confiana das Barreiras de Segurana do Projeto
ARAMIS...................................................................................................................................52
Tabela 3 - Fatores de Influncia de Segurana na fase operacional dos sistemas
instrumentados de segurana.............................................................................................57
Tabela 4 - Composio do gs natural bruto em diferentes pases..............................64
Tabela 5 - Fatores de Influncia de Segurana na fase operacional dos sistemas
instrumentados de segurana.............................................................................................78
Tabela 6 Resultados obtidos com as auditorias de segurana para Rt....................84
Tabela 7 - Taxa de peso dos fatores de influncia de segurana (W|R|)....................85

LISTA DE SIGLAS

ABIQUIM Associao Brasileira da Indstria Qumica
ANSI Application of Safety Instrumented Systems for the Process Industries
APP Anlise Preliminar de Perigos
ARAMIS Accidental Risk Assessment Methodology for Industries in the
framework of Seveso II Directive
BORA Barrier and Operational Risk Analysis
BPCS Basic Process Control System
CONTEC Comisso de Normas Tcnicas
ICCA Internacional Council of Chemical Associations
FIS Funo Instrumentada de Segurana
FOD Field Operation Division
GNL Gs Natural Liquefeito
HORRAM Human and Organizational Reliability Analysis in Accident Management
HSE Health and Safety Executive
HSL Health and Safety Laboratory
IEC International Eletrotechnical Commission
IPSN Instituto de Proteo e Segurana Nuclear
ISA Instrumentation, Systems and Automation Society
MACHINE Model of Accident Causation using Hierarchical Influence Network
PFD Probabilidade de Falha na Demanda
PRIMA Process Risk Management Audit

PSSR Pr-Startup Safety Review

RRF Risk Reduction Factor
SAM System Action- Management
SAQ Safety Attitude survey Questionnarie
SIS Sistema Instrumentado de Segurana
SRS Safety Requirements Specification
SRU Safety Research Unit
STATAS Structured Audit Techinique for the Assessment of Safety Management
systems
TGF Tipos Gerais de Falhas
WWW World Wide Web

SUMRIO
Captulo 1 Introduo.........................................................................................................13
1.1 Introduo.................................................................................................................13
1.2 Objetivos...................................................................................................................14
1.3 Estrutura do Trabalho.............................................................................................14
Captulo 2 Nvel de Integridade de Segurana (SIL Safety Integrity Level) e Ciclo
de Vida de Segurana...........................................................................................................15
2.1 Introduo a Sistemas Instrumentados de Segurana.....................................15
2.1.1 SIS versus Sistemas de Controle de Processo Bsicos (Basic Process
Control System BPCS)...............................................................................................16
2.2 Funes Instrumentadas de Segurana (FIS)...................................................17
2.3 Probabilidade de Falha na Demanda (PFD).......................................................18
2.4 Nveis de Integridade de Segurana (Safety Integrity Level SIL):...............19
2.5 Normas relacionadas com Nvel de Integridade de Segurana......................21
2.5.1 Norma IEC 61508............................................................................................23
2.5.2 Norma IEC 61511............................................................................................25
2.5.3 Normas ISA.......................................................................................................26
2.5.4 Norma Petrobras N-2595...............................................................................27
2.5.5 Normas DIN......................................................................................................28
2.6 Ciclo de Vida de Segurana..................................................................................28
2.6.1 Fase de Anlise do Ciclo de Vida de Segurana.......................................30
2.6.2 Fase de Realizao do Ciclo de Vida de Segurana.................................31
2.6.3 Fase de Operao do Ciclo de Vida de Segurana...................................33
Captulo 3 Impacto dos Fatores Humanos e Organizacionais na Segurana de uma
Unidade...................................................................................................................................35
3.1 Acidentes relacionados com Fatores Humanos e Organizacionais...............35
3.1.1 Acidente da Piper Alpha.................................................................................36
3.2 Fatores Humanos e Organizacionais...................................................................38
3.3 Literatura sobre Fatores Humanos e Organizacionais.....................................40
3.4 Verificao dos Fatores Humanos e Organizacionais dos Sistemas
Instrumentados de Segurana.........................................................................................55
Captulo 4 Gs Natural Liquefeito (GNL)........................................................................63

4.1 Introduo.................................................................................................................63
4.1.1 Caracterizao do Produto Qumico: Gs Natural Liquefeito...................64
4.1.2 Descrio de Processo de uma Unidade de Liquefao do Gs Natural
65
4.1.3 Fontes de Perigo numa Unidade de GNL....................................................69
4.1.4 Histrico de Acidentes em Plantas de GNL................................................70
4.1.5 Unidade Operacional de GNL de anlise....................................................75
Captulo 5 Estudo de Caso Aplicao a uma Planta de GNL..................................77
5.1 Introduo.................................................................................................................77
5.2 Passo 1: Estimar ..................................................................................................77
5.3 Passo 2: Estabelecer pesos relativos wi e clculo de wi...............................77
5.4 Passo 3: Taxar os Fatores de Influncia de Segurana (Ri)..........................78
5.4.1 Desenvolvimento das Listas de Verificao................................................79
5.4.2 Clculo da Taxa dos Fatores de Influncia de Segurana (Ri)...............82
5.5 Passo 4: Clculo do SIL Operacional..................................................................84
5.6 Passo 5: Aes Corretivas e Preventivas...........................................................85
Captulo 6 Concluso.........................................................................................................87
6.1 Anlise dos Resultados..........................................................................................87
6.2 Trabalhos Futuros...................................................................................................88
Referncias Bibliogrficas....................................................................................................90
Anexo I.....................................................................................................................................96

13

Captulo 1 Introduo
1.1 Introduo
O estudo de acidentes na indstria em geral tem indicado que fatores humanos e
organizacionais desempenham um papel muito importante, pois muitas vezes
aparecem como causas razes ou fatores contribuintes destes eventos. Muitos
estudos vm sendo propostos para tentar quantificar estes fatores humanos e
organizacionais, que interferem na segurana de uma unidade em operao, para
tentar elimin-los de forma preventiva.
Os sistemas instrumentados de segurana (SIS) so basicamente sistemas de
atuao de segurana de uma unidade industrial, compostos por sensores, lgicas e
elementos finais. Com o avano da tecnologia, os sistemas instrumentados de
segurana esto cada vez mais automatizados e complexos. Devido ao aumento
desta complexidade, surgiram alguns questionamentos quanto ao nvel efetivo de
proteo fornecidos pelos SIS. Dado esse cenrio, vrias normas sobre o
desenvolvimento, projeto e manuteno dos SIS foram emitidas.
A norma IEC 61508 (1998) foi desenvolvida com o objetivo de servir como um guia
para ajudar diversas indstrias a desenvolver normas suplementares especficas
para suas aplicaes (como por exemplo: a IEC 61511 (1998) para o setor de
processo) e tambm para habilitar o desenvolvimento eltrico/eletrnico/eletrnico
programvel (E/E/PE) dos sistemas relacionados com a segurana. A norma IEC
61508 (1998) define que a reduo de risco que um SIS pode fornecer
representada pelo seu nvel de integridade de segurana (safety integrity level
SIL).
Ento, na fase de projeto, para uma unidade industrial, o SIL de projeto calculado.
Porm, um bom gerenciamento de segurana no pode melhorar o nvel de
integridade de um sistema tecnicamente, mas uma m gesto pode deteriorar a
confiabilidade do sistema.

14

1.2 Objetivos
O objetivo principal deste trabalho verificar as evidncias e mensurao dos
fatores humanos e organizacionais de uma unidade em operao de GNL (gs
natural liquefeito) que podem impactar o SIL de projeto desta unidade e tambm
calcular um SIL operacional.
1.3 Estrutura do Trabalho
No Captulo II so apresentados os conceitos de nvel de integridade de segurana,
bem como sistemas instrumentados de segurana. Inclui tambm a descrio das
normas relacionadas com o assunto.
O Captulo III inicia-se com a descrio de um dos principais acidentes da histria,
que teve como causa raiz, ou fatores contribuintes, os fatores humanos. Contm
uma reviso bibliogrfica a respeito dos fatores humanos e organizacionais que
interferem na segurana de uma unidade em operao. Em destaque, apresenta
tambm o artigo base desta dissertao de mestrado.
No Captulo IV, esto apresentadas as principais caractersticas e perigos do gs
natural liquefeito (GNL), alm da descrio de uma unidade de GNL e do histrico
de acidentes em unidades de GNL.
O Captulo V demonstra toda a metodologia utilizada no estudo de caso realizado
numa planta em operao de GNL.
As concluses e comentrios finais sobre o trabalho desenvolvido compem o
Captulo VI. Neste captulo so tambm descritas sugestes para trabalhos futuros.


15

Captulo 2 Nvel de Integridade de Segurana (SIL Safety

Integrity Level) e Ciclo de Vida de Segurana
2.1 Introduo a Sistemas Instrumentados de Segurana
Os Sistemas Instrumentados de Segurana (SIS), tambm so conhecidos pelas
diversas indstrias de processo como Sistemas de Intertravamento de Segurana,
Sistemas de Desligamento de Segurana, ou Sistemas de Desligamento de
Emergncia, entre outros.
A norma ANSI
1
(2001) define SIS como a instrumentao e controles instalados com
o objetivo de trazer o processo, ou equipamento especfico no processo, para um
estado seguro. Em outras palavras, os SIS so projetados para responder a
condies perigosas da planta ou condies potencialmente perigosas (situaes
em que se uma ao no for tomada pode resultar num evento perigoso) (GRUHN e
CHEDDIE, 2006).
O objetivo dos sistemas instrumentados de segurana (safety instrumented system -
SIS) reduzir o risco de um processo para um nvel tolervel. O SIS alcana esse
objetivo diminuindo a frequncia de incidentes indesejveis (MARSZAL e
SCHARPF, 2002).
Atualmente, em funo do grande avano da eletrnica digital da ltima dcada, os
modernos sistemas de proteo usados na indstria utilizam unidades digitais para a
realizao das suas lgicas de atuao, podendo combinar os sinais dos sensores
de vrias maneiras e executar acionamentos dos mais diversos tipos de acionadores
redundantes, realizando assim, complexas tarefas de intertravamento de segurana
em equipamentos ou instalaes que lidam com produtos ou processos perigosos.
Um SIS pode ter diferentes nveis de redundncia em qualquer um dos seus trs
componentes bsicos (sensor, elemento final e lgica), possibilitando assim um
grande nmero de configuraes alternativas (CHAME, 2007).

1
ANSI (American National Standards Institute) O Instituto Nacional de Normas Americanas supervisiona a
criao, promulgao e uso de normas e diretrizes que impactam diretamente quase todos os setores
comerciais.EsteInstitutotambmestengajadonoprogramadeverificaodeconformidadecomasnormas
globalmentereconhecidascomoISO9000(qualidade),ISO14000(ambiental).
16

Os especialistas frequentemente preferem uma definio mais funcional para SIS,

como: um sistema composto de sensores, solucionadores de lgicas e elementos
finais projetados com o objetivo de (GOBLE e CHEDDIE, 2005):
Trazer um processo industrial automaticamente para um estado seguro
quando as condies especficas so violadas;
Permitir que um processo avance de maneira segura (funes permissivas);
ou
Agir para mitigar as consequncias de um perigo industrial.
As normas relacionadas, IEC 61511 (1998, 2003) e ANSI (2004), definem sistemas
instrumentados de segurana como sistemas instrumentados usados para
implementar uma ou mais funes instrumentadas de segurana. Um SIS
composto por uma combinao de sensores (indicadores), unidade(s) lgica(s) e
elemento(s) final (atuadores).
A norma IEC 61508 (2000) no utiliza o termo SIS. Ao invs dele, utiliza o termo
sistema relacionado com segurana. O conceito o mesmo, mas a linguagem pode
ser amplamente aplicada a muitas indstrias.
2.1.1 SIS versus Sistemas de Controle de Processo Bsicos (Basic Process
Control System BPCS)
Um sistema instrumentado de segurana, como um sistema de controle de processo
bsico, tambm composto de sensores, unidade(s) de lgica e elemento(s)
final(finais). Embora parte do hardware parea ser igual, SIS e BPCS diferem muito
na funo. A funo primria de uma malha de controle geralmente manter o
processo varivel dentro dos limites prescritos. Um SIS monitora um processo
varivel e inicia a ao quando requerido.
A Figura 1 apresenta um exemplo de sistema de controle de processo bsico versus
sistemas instrumentados de segurana.
Enquanto um SIS similar a um BPCS em muitas maneiras, as diferenas resultam
no projeto nico, manuteno e requisitos de integridade mecnica, que incluem
(GOBLE e CHEDDIE, 2005):
17

Projeto para falha-segura;

Diagnstico de projeto para detectar falha-segura automaticamente;
Procedimentos de testes manuais de projeto para detectar falha segura;
Projeto deve atender normas locais e internacionais.

Figura 1 - Sistema de Controle de Processo Bsico (Basic Process Control System) X Sistemas
Instrumentados de Segurana
Fonte: GOBLE e CHEDDIE, 2005.
2.2 Funes Instrumentadas de Segurana (FIS)
Uma funo instrumentada de segurana uma ao realizada por um SIS para
trazer o processo ou equipamento sob controle e para um estado seguro. Esta
funo um conjunto de aes que protege contra um perigo nico especfico.
Alguns exemplos de FIS podem ser visualizados na Figura 2 (MARSZAL e
SCHARPF, 2002):
FIS 1: Fechamento das duas vlvulas de alimentao do reator para evitar alta
temperatura do reator;
FIS 2: Fechamento da vlvula de alimentao de vapor para a recondensadora para
evitar alta presso ou alta temperatura na coluna;

18

Figura 2 - FIS versus SIS
Fonte: MARSZAL e SCHARPF, 2002.
possvel implantar uma ou mais FIS em um SIS, como apresentado na Figura 2.
Uma funo de segurana pode incluir mltiplos inputs e outputs. A FIS 1
executada com dois outputs, que so as duas vlvulas de alimentao dos reatores,
e a FIS 2 possui dois inputs, que so a medida de alta presso e alta temperatura.
tambm importante notar que mltiplas FIS podem incluir equipamentos comuns e
tambm a mesma lgica. O SIL pertence a funes instrumentadas de segurana
especficas, no ao sistema instrumentado de segurana inteiro. Quando um item de
equipamento comum a mltiplas FIS, ele deve ser projetado para atender o maior
requisito de SIL do FIS que ele suporta (MARSZAL e SCHARPF, 2002).
A norma IEC61511 (2003) define a FIS como uma funo de segurana com um
nvel de integridade de segurana especfico que necessrio para alcanar
segurana funcional e que pode ser tanto uma funo de proteo instrumentada de
segurana ou uma funo de controle instrumentado de segurana.
2.3 Probabilidade de Falha na Demanda (PFD)
A definio de probabilidade um nmero adimensional (0 P 1) empregado para
descrever a chance de ocorrncia de um evento durante um intervalo especificado,
19

ou a probabilidade condicional de que um evento ocorrer, dado que algum evento

precursor ocorreu (informao verbal).
2

A probabilidade de falha na demanda a indisponibilidade do sistema. a frao de
tempo em que o sistema est indisponvel para executar sua funo de segurana,
quando a planta est operando (TORRES-ECHEVERRA et al, 2009).
Pode-se definir tambm a Probabilidade de Falha na Demanda como um atributo de
confiabilidade que indica qual a probabilidade de um componente falhar em cumprir
uma ao previamente especificada no momento em que ela for demandada. Em
outras palavras, possvel dizer que se especifica um Sistema Instrumentado de
Segurana para se obter um desempenho estatstico esperado, ou seja, para reduzir
a possibilidade de acidentes a uma taxa considerada como aceitvel e a PFD o
atributo que especifica este valor (CHAME, 2007).
2.4 Nveis de Integridade de Segurana (Safety Integrity Level SIL):
A quantidade de reduo de risco que um SIS pode fornecer representada pelo
nvel de integridade de segurana (safety integrity level SIL), que definido por um
intervalo de probabilidade de falha na demanda.
Os nveis de integridade de segurana (SILs) so categorias baseadas na
probabilidade de falha na demanda (PFD) para uma funo instrumentada de
segurana (FIS) particular. A categoria de probabilidade de falha vai de 1 a 3, como
definido pela ANSI (1996), ou de 1 a 4, como definido pela IEC 61508 (1998, 2000) e
IEC 61511 (2003). A Tabela 1 mostra o intervalo da PFD e do fator de reduo de
risco (Risk Reduction Factor - RRF) que corresponde a cada SIL (MARSZAL e
SCHARPF, 2002).
A recproca da PFD chamada de RRF. O benefcio do uso deste termo que a
diferena entre os nmeros mais fcil de ser visualizada. Por exemplo, a diferena
entre um fator de reduo de risco de 100 para 10.000 obviamente duas ordens de
magnitude (GRUHN e CHEDDIE, 2006).

2
DadosobtidosemnotasdeauladadisciplinaEngenhariadeConfiabilidade,nocursodePsGraduaoda
EngenhariaNucleardaUniversidadeFederaldoRiodeJaneiro,anode2008,professorPauloFernandoFerreira
FrutuosoeMelo,D.Sc.
20

Tabela 1 - Nveis de Integridade de Segurana e PFD e RRF correspondentes

Fonte: MARSZAL e SCHARPF, 2002; IEC 61508, 2000.
IntervalodePFD
paraaltademanda
10
8
10
9
10
7
10
8
10
6
10
7
10
5
10
6
1.00010.000
1001.000
10100
NveldeIntegridadedeSeguranaePFDeRRFcorrespondente
3
2
1
10
4
10
5
10
3
10
4
10
2
10
3
10
1
10
2
SIL
Interval odePFDpara
bai xademanda
IntervalodeRRF
4 10.000100.000

A probabilidade de falha na demanda pode ser especificada como baixa ou alta. Por
exemplo: o freio de um carro, demandado frequentemente, logo se considera de
alta demanda. Por outro lado o sistema de proteo de air bag do carro um
sistema de proteo de baixa demanda, j que pode levar anos ou dezenas de anos
sem ser necessrio.
De acordo com a IEC 61508 (2000), o modo de operao por alta demanda (ou
modo contnuo) quando a frequncia da demanda maior que uma vez por ano e
a baixa demanda quando menor que esta frequncia.
O SIL o parmetro de projeto chave que especifica a medida de reduo de risco
que um equipamento de segurana requer para alcanar uma funo particular. Se
um SIL no selecionado, o equipamento no pode ser propriamente projetado,
pois somente a ao especificada, no a integridade. Para projetar uma pea de
um equipamento corretamente, so requeridos dois tipos de especificaes: uma
especificao do que o equipamento faz e uma especificao de o quo bem o
equipamento desempenha aquela funo. O nvel de integridade de segurana trata
desta segunda especificao atravs da indicao de uma probabilidade mnima
requerida de que o equipamento ir realizar com xito e como o equipamento ser
projetado para fazer quando for solicitado (MARSZAL e SCHARPF, 2002).
De acordo com a IEC 61511 (2003), SIL o nvel discreto (de um a quatro) para a
especificao dos requisitos de integridade das funes instrumentadas de
segurana a ser alocado para os sistemas instrumentados de segurana. SIL 4 o
sistema de integridade mais alto e SIL 1, o mais baixo.
21

O que afeta o SIL de uma FIS? O nvel de integridade de segurana afetado pelos
seguintes parmetros (CHAME, 2007):
Integridade do componente (por exemplo, taxas de falhas e modos de falhas);
Redundncia e votao;
Intervalo funcional de teste;
Cobertura de diagnstico;
Outras causas comuns (incluindo aquelas relacionadas ao componente/
dispositivo, projeto, fatores sistemticos e erros humanos).
Os parmetros integridade do componente/dispositivo, cobertura de diagnstico e
causa comum, so tipicamente limitados pelo dispositivo FIS e prticas de
instalao. As exigncias de redundncia e intervalos funcionais de testes tm o
maior impacto no projeto e nas prticas de operao/manuteno nas unidades de
processo existentes (CHAME, 2007).
Para designar um SIL, ou seja, identificar quanto de reduo de risco ser
necessria para alcanar o risco tolervel, podem-se utilizar mtodos quantitativos,
que fornecem um valor numrico especfico para o risco (ex.: fator de reduo do
risco), ou mtodos qualitativos, que fornecem uma faixa dentro de um grupo de
categorias de reduo de risco. Os diferentes mtodos de clculos de SIL no fazem
parte do escopo deste trabalho, por isso no sero detalhados.
2.5 Normas relacionadas com Nvel de Integridade de Segurana
Com o grande avano da automao industrial na ltima dcada, os Sistemas
Instrumentados de Segurana passaram a representar um dos principais pilares da
segurana de processo nas indstrias qumica, petroqumica e de leo/gs. Por se
tratarem de aplicaes novas, para as quais no se dispunha de experincia prtica
significativa, e pelo grande aumento da complexidade deste tipo de sistema de
proteo, surgiram alguns questionamentos quanto ao nvel efetivo de proteo
pelos SIS. Dado este cenrio, foram editadas vrias normas sobre o
desenvolvimento, projeto e manuteno dos SIS (CHAME, 2007).
22

Nos Estados Unidos, a ISA Instrumentation, Systems and Automation Society

desenvolveu ANSI (1996), Application of Safety Instrumented Systems for the
Process Industries baseado no regulamento de gerenciamento de segurana de
processo da OSHA
3
, de 1996 (MARSZAL e SCHARPF, 2002).
Nos anos 90, a Comisso Eletrotcnica Internacional (International Eletrotechnical
Commission - IEC
4
) desenvolveu a IEC 61508, Functional Safety of Eletric/
Eletronic/ Programmable Eletronic Safety-Related Systems (MARSZAL e
SCHARPF, 2002).
Em 1998 foi publicada a primeira parte da IEC 61508 e a sua emisso final foi em
2000. A IEC 61508 foi desenvolvida para cobrir numerosas indstrias. A IEC, desde
ento, desenvolveu normas especficas da indstria para suportar a 61508, como a
IEC 61511 para o setor de processo (MARSZAL e SCHARPF, 2002).
A norma ANSI (2004) foi emitida em Setembro de 2004, uma verso norte-
americana da IEC 61511. Esta idntica IEC 61511, em cada detalhe, exceto pela
incluso de uma clusula retirada da OSHA 29CFR1910.119 (GOBLE e CHEDDIE,
2005).
No Brasil, ainda em funo deste avano da automao industrial, em 1997, a
PETROBRAS elaborou a Norma PETROBRAS CONTEC N-2595 (1997) Critrios
de Projeto e Manuteno para Sistemas Instrumentados de Segurana em Unidades
Industriais, para uso nas instalaes da PETROBRAS (CHAME, 2007).
No Brasil essas normas vm se tornando cada vez mais conhecidas e vrios dos
grandes projetos nacionais demandam tanto produtos certificados segundo a norma
IEC 61508, como tambm conhecimento das normas por parte dos engenheiros e
fornecedores envolvidos nestes projetos (NORMA, 2011).

3
OSHA (Occupational Safety & Health Administration) O OSHA faz parte do Departamento do Trabalho
NorteAmericano.Foicriadocomoobjetivodeassegurarcondiesdetrabalhosegurasesaudveisatravsda
criaoeaplicaodenormas.
4
IEC (International Eletrotechnical Commission) Esta Comisso foi fundada em 1906, a organizao lder
mundialnaelaboraoepublicaodenormasinternacionaisqueenvolvemtodatecnologiarelacionadacom
eltricaeeletrnica.
23

De acordo com Finkel et al (2006), as normas sobre Sistemas Instrumentados de

Segurana (SIS) tm como denominador comum no serem normas prescritivas e
sim orientadas para exigir que se atinja um nvel de desempenho desejado pelo
sistema. Elas dizem o que precisa ser feito, mas no como faz-lo. Exigem do
profissional que as usa um conhecimento de causa bem maior do que quem queira
simplesmente seguir uma receita de "como se projeta" um sistema. A norma pode
ser aplicada com qualquer tipo de tecnologia existente ou futura. Assim, a tendncia
no ser necessrio se revisar a norma a cada vez que surgir uma nova tecnologia
aplicvel a sistemas de segurana, o que seria indesejvel, levando-se em conta o
tempo de estudo, maturao e aprovao destas normas (apud SOPPA, 2009).
As normas citadas sero detalhadas nas subsees subsequentes.
2.5.1 Norma IEC 61508
O objetivo primrio da IEC 61508 servir como um guia para ajudar diversas
indstrias a desenvolver normas suplementares especficas para as suas
aplicaes. O segundo objetivo da norma habilitar o desenvolvimento eltrico/
eletrnico/ eletrnico programvel (E/E/PE) dos sistemas relacionados com
segurana onde no existam normas especficas na indstria (GOBLE e CHEDDIE,
2005).
A estratgia geral desta norma estabelecer uma meta de SIL baseada nas
anlises de perigo e risco e depois projetar os equipamentos relacionados com
segurana para um nvel de integridade apropriado (SMITH e SIMPSON, 2004).
A norma genrica, isto , fornece uma abordagem generalizada para o
gerenciamento e projeto dos sistemas de segurana funcionais que podem ser
aplicados para qualquer tipo de indstria. destinada para uso direto em qualquer
projeto, mas tambm usada como base de normas do setor industrial
(MACDONALD, 2004).
A norma IEC 61508 est dividida em sete partes. As partes de I a III so as
principais e as de IV a VII so materiais suplementares. Estas sete partes so
descritas a seguir (SMITH e SIMPSON, 2004):
24

Parte I Requisitos Gerais (General Requirements) , que cobre o

gerenciamento de segurana funcional geral, ou seja, o sistema de
gesto que estabelece as atividades, procedimentos e habilidades
necessrias para gerenciar o risco do projeto e atender os nveis de
integridade; fala tambm sobre o ciclo de vida de segurana (que ser
detalhado posteriormente neste trabalho) e os requisitos de cada
etapa do ciclo de vida e a definio de SIL e a necessidade da anlise
de perigos para a determinao do SIL.
Parte II Requisitos para Sistemas relacionados com segurana
eltrico/ eletrnico/ eletrnico programvel (Requirements for Electrical/
Eletronic/ Programmable Eletronic Safety Related Systems) , aborda
principalmente os aspectos do hardware dos sistemas relacionados
com segurana.
Parte III Requisitos de Software (Software Requirements) , que
aborda as atividades e tcnicas para o projeto do software, cita
tambm falha sistemtica.
Parte IV Definies e Abreviaes (Definitions and Abbreviations) ,
como o prprio nome j diz contm as abreviaes e definies dos
termos utilizadas nas partes de I a VII da norma.
Parte V Exemplo de Mtodos para a determinao dos Nveis de
Integridade de Segurana (Examples of Methods for the Determination
of Safety Integrity Levels), fornece alguns exemplos de tcnicas
qualitativas e quantitativas de clculo do SIL.
Parte VI Guia da aplicao da IEC 61508-2 e IEC 61508-3
(Guidelines on the Application of IEC 61508-2 and IEC 61508-3),
possuem anexos informativos das partes II e III desta norma.
Parte VII Reviso das tcnicas e medidas (Overview of Techniques
and Measures), esta parte serve como um guia de referncia para as
tcnicas e medies.
Em junho de 2010 uma nova edio da norma IEC 61508 foi publicada para
substituir a edio da norma de 1998. Esta edio constitui-se numa reviso tcnica
(UNDERWRITES, 2010).
25

Do ponto de vista do fornecedor, a segunda edio fornece um guia adicional sobre

o que requerido para rastreabilidade dos componentes da cadeia de suprimentos.
A compreenso dos requisitos para os componentes relativos aos diferentes SIL
pode fornecer um nvel de garantia para integradores de sistemas. Tendo a
visibilidade sobre o processo de desenvolvimento dos componentes, possvel
construir um sistema mais amplo e fornecer um mecanismo de gerenciamento de
risco mais consistente (UNDERWRITES, 2010).
O elemento um conceito introduzido na segunda edio da norma, todo o
desenvolvimento e clculo de verificao so agora realizados baseados neste
conceito. Um elemento pode ser considerado o elemento de mais baixo nvel em
que o sistema relacionado com a segurana composto, sendo baseado na
hierarquia de segurana funcional. Por exemplo, o parmetro de SIL frao de falha
segura deve ser determinado por elemento, no como um subsistema
(UNDERWRITES, 2010).
Um grupo de tcnicas e medidas essenciais para a preveno e introduo de falhas
durante o projeto e desenvolvimento destes componentes introduzido nesta nova
verso da norma (UNDERWRITES, 2010).
2.5.2 Norma IEC 61511
Esta norma a implementao do setor de processo, baseada na norma IEC 61508.
Esta norma foi emitida, no incio de 2003, com foco no usurio final, pessoa
responsvel pelo projeto e operao de um SIS, e est dividida em trs partes
(SMITH e SIMPSON, 2004):
Part I Definies e requisitos de Sistemas, Hardwares e Softwares (General
framework; definitions, bibliografy and system/software/hardware
requirements), cobre o ciclo de vida de segurana, incluindo o gerenciamento
da segurana funcional, anlise de perigos e risco do processo e as etapas
do projeto do SIS at o descomissionamento do SIS;
Part II Guia Informativo da Parte I (Guidelines on the application of Part I),
fornece um guia geral para a utilizao da parte I, pargrafo por pargrafo.
26

Parte III Guia Informativo das Anlises de Perigo e Risco (Guidelines in the
application of Hazard and Risk Analysis), fornece um guia detalhado para a
determinao do SIL e possui apndices cobrindo mtodos qualitativos e
quantitativos.
Pode- se dizer que a parte I a poro normativa da IEC 61511, enquanto as partes
II e III so as pores informativas (GRUHN e CHEDDIE, 2006).
A norma segue os requisitos da IEC 61508, mas modifica-os para atender situao
prtica de uma planta de processo. A IEC 61511 no abrange a concepo e
manufatura dos produtos para uso em segurana, uma vez que eles permanecem
cobertos pela IEC 61508 (MACDONALD, 2004).
2.5.3 Normas ISA
A ISA uma sociedade internacional para medio e controle. O comit da ISA
trabalhou por mais de 10 anos desenvolvendo a norma ANSI (1996). O escopo
deste documento sofreu muitas alteraes ao longo deste perodo. Este comit
acreditava que a ANSI (1996) poderia ser utilizada como uma norma especfica para
a indstria de processo (GRUHN e CHEDDIE, 2006). Durante o desenvolvimento
desta norma, o comit da IEC iniciou o desenvolvimento da 61508.
Em 1996 foi emitida a norma ANSI (1996), Aplicao de Sistemas Instrumentados
de Segurana para Indstria de Processo (Application of Safety Instrumented
Systems for the Process Industries).
Esta norma define apenas trs nveis de SIL, equivalentes aos nveis de 1 a 3 da
IEC 61508. O nvel de integridade com probabilidade maior do que 10
-4
no
reconhecido pela norma, implicando na necessidade de mais nveis de proteo
para atingir alta integridade (SMITH e SIMPSON, 2004).
O comit pretendia revisar a norma ANSI (1996) de cinco em cinco anos, para
considerar novos desenvolvimentos. Ao invs de reescrever a norma ISA-84.91-
1996 do incio, decidiu-se adotar a norma IEC 61511 com a adio de uma clusula
da verso original da norma ANSI (1996) (GRUHN e CHEDDIE, 2006).
27

Esta clusula permite aos usurios manter o seu SIS, que foi projetado com as boas
prticas de engenharia anteriores, sem ter necessidade de atualizar o SIS para a
norma atual, ou seja, garante empresa a possibilidade de manter seus antigos
projetos de equipamentos com boas prticas de engenharia reconhecidas e aceitas,
enquanto a companhia garante que o SIS est projetado, mantido, inspecionado,
testado e operando de maneira segura (CHAME, 2007).
Em 2004 foi emitida a norma ANSI (2004), Segurana funcional: Sistemas
Instrumentados para o Setor da Indstria de Processo (Functional Safety: Safety
Instrumented Systems for the Process Industry Sector).
2.5.4 Norma Petrobras N-2595
As normas tcnicas da Petrobras so elaboradas por Grupos de Trabalho formados
por especialistas da companhia e das suas subsidirias, so comentadas pelos
Representantes Locais (representantes das Unidades Industriais, Empreendimentos
de Engenharia, Divises Tcnicas e Subsidirias), so aprovadas pelas
Subcomisses Autoras SCs (formadas por tcnicos de uma mesma especialidade,
representando os rgos da Companhia e as Subsidirias) e aprovadas pelo
Plenrio da CONTEC (formado pelos representantes das Superintendncias dos
rgos da Companhia e das suas Subsidirias, usurios das normas),
PETROBRAS (1997).
A norma da CONTEC N-2595 PETROBRAS (1997), Critrios de Projeto e
Manuteno Para Sistemas Instrumentados de Segurana em Unidades Industriais,
foi emitida em Novembro de 1997 pela Petrobras.
Esta norma foi desenvolvida com o objetivo de fixar as condies exigveis e as
prticas recomendadas no projeto e manuteno de Sistemas Instrumentados de
Segurana, para uso nas instalaes da Petrobras.
A N-2595 procura tratar o ciclo do SIS de forma objetiva, mas a N-2595 pode no
ser diretamente aplicvel a outra empresa que no a Petrobras porque a
determinao do SIL requerido, por exemplo, depende do risco tolerado pela
empresa, e este pode no ser igual ao da estatal (SIL, 2011).
28

2.5.5 Normas DIN

As normas alems DIN V foram publicadas para sistemas de segurana e tambm
foram usadas como uma das referncias para as normas IEC. Antes da publicao
do IEC 61508, as normas alems DIN V 19250 e VDE 801 eram usadas para
certificao de produtos. Atualmente, elas devem ser utilizadas em conjunto com as
normas IEC 61508 (SMITH e SIMPSON, 2004).
A norma DIN V 19250 descreve o conceito da IEC 61508 de reduo de risco por
uma ou mais medidas de proteo. Os alemes tm uma agncia de certificao
independente, que praticamente a nica reconhecida mundialmente, para sistemas
de segurana, a TUV. Uma diferena significativa entre a IEC 61508 e a DIN/VDE
19250 a classificao dos nveis de integridade de segurana. Esta norma
estabelece o conceito de que sistemas de segurana devem ser projetados para
encontrar determinadas classes, denominas Classe 1 (AK1) at Classe 8 (AK8)
(SOPPA, 2009).
A Norma DIN VDE 0801 uma norma alem apenas para os fabricantes dos
sistemas. Detalha exigncias para fabricao baseados nos riscos calculados
conforme a norma DIN/VDE 19250 (SOPPA, 2009).
A norma DIN VDE 801 tambm baseada no ciclo de vida e lida com mtodos que
objetivam evitar erros no desenvolvimento do hardware e do software. Utiliza as
mesmas categorias de risco da norma DIN V 19250 (SMITH e SIMPSON, 2004).
2.6 Ciclo de Vida de Segurana
O conceito de ciclo de vida de segurana vem sendo posto frente de muitas
normas internacionais, como ANSI (1996), IEC 61508 (2000) e IEC 61511 (2003). O
ciclo de vida de segurana essencialmente um mtodo ou processo que fornece
um contexto global para a especificao, projeto, implementao e manuteno dos
sistemas instrumentados de segurana de forma a alcanar a segurana funcional
global de maneira documentada e verificada. Entender o ciclo de vida de segurana
um pr-requisito para selecionar um SIL para qualquer sistema relacionado com
segurana (MARSZAL e SCHARPF, 2002).
29

De acordo com Goble e Cheddie (2005), a definio do ciclo de vida de segurana

um processo de engenharia que utiliza passos especficos para garantir que os SIS
sejam efetivos em sua misso de reduo de risco, bem como custo-efetivo sobre a
vida til do sistema.
O processo do ciclo de vida da IEC 61508 (2000) apresentado esquematicamente
na Figura 3.
13Val i dao
Gl obal de
Segurana
14Operaoe
Manuteno
16Descomi ssi o.
15Modi fi caoe
Reconstruo
Gl obal
9Si stemas
rel aci onados
comSegurana
Real i zao
10Si stemasrel .
comsegurana:
outratecnol ogi a
Real i zao
12I nstal aoe
Comi ssi onament
Pl anejamentoGeral
7Pl anejamento
Val i dao
11Reduode
Ri scoExterna
Real i zao
1Concei to
2Defi ni odo
Escopo
3Anl i sede
Peri goeRi sco
4Requi si tos
Gerai sde
Segurana
5Desi gnao
dosRequi si tos
deSegurana
8Pl anejamento
daI nstal aoe
Comi ssi onamento
6Pl anejamento
deOperaoe
Manuteno
FASEDEANLISE
Consultor/UsurioFinal
REALIZAO
Fornecedor/
Contratada/
UsurioFinal
OPERAO
UsurioFinal/
Contratada

Figura 3 - Ciclo de Vida de Segurana, IEC 61508
Fonte: GOBLE e CHEDDIE, 2005.
O ciclo de vida inicia-se com o projeto conceitual do processo e finaliza apenas aps
o decomissionamento do SIS. A ideia principal que a segurana deve ser
considerada desde o projeto conceitual do processo e deve ser mantida durante
todo o projeto, operao e manuteno (GOBLE e CHEDDIE, 2005).
30

Segundo Marzal e Scharpf (2002), o processo do ciclo de vida de segurana pode

estar dividido em trs fases: anlise, realizao e operao. Essas fases sero
detalhadas nas subsees seguintes.
2.6.1 Fase de Anlise do Ciclo de Vida de Segurana
A fase de anlise inclui o planejamento inicial, identificao e especificao das
funes que so necessrias para aplicar adequadamente sistemas de segurana
para o processo. As funes individuais e o fluxo de informao requerido para
realizar estas atividades esto sumarizados na Figura 4 (MARSZAL e SCHARPF,
2002).

Figura 4 Atividades em detalhes para a fase de anlise do ciclo de Vida de Segurana
Fonte: GOBLE e CHEDDIE, 2005.
A fase de anlise foca claramente o processo de seleo do SIL correspondente. O
ciclo de vida de segurana inicia-se com o escopo e conceitos do projeto inicial do
processo. importante identificar claramente o propsito do projeto em termos de
metas e resultados mensurveis. A definio do escopo deve designar claramente
31

os limites do processo e equipamentos em que sero realizadas as anlises de

perigo e risco. Outro ponto que a organizao deve considerar no incio do projeto
o nvel de risco que ser tolerado na operao diria. O prximo passo a
classificao dos perigos e anlise dos riscos. A primeira atividade relevante
identificar os perigos e eventos perigosos que podem ocorrer na operao dos
equipamentos ou processo. Muitos rgos ambientais, leis ou normas requerem
rigorosamente que essa identificao seja realizada por uma anlise de perigos de
processo. Uma vez que a organizao identificou os perigos e potenciais FISs,
necessrio classificar a frequncia de ocorrncia do evento. O nvel do risco
tolervel pela organizao deve ento ser comparado com os riscos apresentados
no processo e a organizao saber de quanto dever ser a reduo do risco do
processo e se um SIS requerido para realizar uma FIS. A reduo do risco
requerida ir determinar qual SIL dever ser selecionado para a FIS em questo.
Para completar a fase de anlise do ciclo de vida de segurana, todas as
informaes e resultados devem ser documentados na especificao de requisitos
de segurana (safety requirements specification SRS). Segundo a IEC 61508
(2000), o objetivo do SRS desenvolver uma especificao dos requisitos de
segurana globais, em termos de requisitos funcionais de segurana e requisitos de
integridade de segurana (MARSZAL e SCHARPF, 2002).
De acordo com a IEC 61511 (2003), quando uma ao humana parte de um SIS, a
disponibilidade e a confiabilidade da ao do operador devem ser especificadas no
SRS.
2.6.2 Fase de Realizao do Ciclo de Vida de Segurana
A fase de realizao engloba o projeto, fabricao, instalao e teste do SIS que foi
especificado na fase de anlise do projeto. A fase de realizao no pode ser
corretamente executada se a especificao no for clara e corretamente
desenvolvida na fase de anlise (MARSZAL e SCHARPF, 2002).
A Figura 5 sumariza as funes individuais e o fluxo de informao que so
necessrios para a fase de realizao.
32

Figura 5 Atividades em detalhes para a fase de realizao do ciclo de Vida de Segurana
Fonte: GOBLE e CHEDDIE, 2005.
Com o SRS em mos, a primeira tarefa da fase de realizao selecionar qual a
tecnologia e arquitetura do sistema instrumentado de segurana necessrias para
atender aos requisitos da especificao.
O prximo passo realizado pelo grupo de projeto revisar a filosofia do teste
peridico estabelecido no SRS, para garantir que ele atenda s especificaes antes
de serem colocados em uso. O teste e intervalo de reparo devem ser considerados
corretamente, j que eles afetam o SIL do sistema.
Uma vez que o projeto conceitual esteja completo, a organizao deve analisar o
sistema para confirmar se o SIL atende o valor que foi selecionado e documentado
no SRS. O sistema s projetado e fabricado se atender ao SIL selecionado.
A parte final da fase de realizao o planejamento e a execuo da instalao,
comissionamento e validao do sistema (MARSZAL e SCHARPF, 2002).

33

2.6.3 Fase de Operao do Ciclo de Vida de Segurana

A fase de operao a mais longa do ciclo de vida de segurana. Ela se inicia com
a reviso de segurana de pr-partida da unidade (Pre-Startup Safety Review
PSSR), seguida da partida e continua at a fase de descomissionamento, como
apresentado na Figura 6.

Figura 6 Atividades em detalhes para a fase de operao do ciclo de Vida de Segurana
Fonte: GOBLE e CHEDDIE, 2005.
A parte mais significativa desta fase a manuteno e teste do SIS, j que o SIL
pode ser afetado pelo nmero de vezes que o SIS testado e reparado.
Gerenciamento das mudanas tambm importante para que toda modificao do
sistema seja tratada corretamente. Dependendo da natureza da mudana, poder
levar a uma nova verificao das fases de projeto.
O descomissionamento o fim do ciclo de vida de segurana. Antes do
equipamento ser desenergizado, a organizao deve analisar os efeitos do
descomissionamento em ambos os equipamentos ou processo diretamente sob
controle e em qualquer sistema estreitamente integrado (MARSZAL e SCHARPF,
2002).
preciso reconhecer que o Ciclo de Vida de Segurana e os Sistemas
Instrumentados de Segurana associados precisam ser parte do um Sistema de
34

Gerenciamento de Segurana global da planta inteira. O Sistema de Gerenciamento

pode ser definido como um programa ou conjunto de atividades envolvendo a
aplicao dos princpios de gerenciamento e anlises para garantir a segurana de
processo global da planta.
Para o ciclo de vida ser corretamente adotado e implantado, ele deve estar integrado
com o Sistema de Gerenciamento de Segurana global da planta e sua importncia
deve ser reconhecida e priorizada. Esta integrao muitas vezes o maior desafio
para a planta, devido s barreiras da organizao (GOBLE e CHEDDIE, 2005).
Fatores humanos e organizacionais so discutidos explicitamente e implicitamente
em muitas fases do ciclo de vida de segurana, mas no existe um requisito para
que estes fatores sejam analisados quantitativamente.
Apesar da norma IEC 61508 (2000) levar em conta o ciclo de vida, que tambm
inclui operao e manuteno, existe um foco pequeno em como o SIL mantido no
nvel desejado durante a fase de operao. A maioria das publicaes sobre o
assunto na literatura est preocupada com a determinao do SIL requerido e em
demonstrar o SIL alcanado na fase de partida. Porm, o desempenho do sistema
instrumentado de segurana na fase operacional influenciado por muitos fatores
humanos, no apenas pelo projeto do sistema e os testes e estratgias de
manuteno relacionados, mas tambm as condies de operao no sistema
scio-tcnico de que ele parte. Isto inclui tanto fatores humanos como
organizacionais. Esses fatores podem ameaar o SIL alcanado na fase de
operao, mas normalmente no so contabilizados (SCHNBECK, 2007).




35

Captulo 3 Impacto dos Fatores Humanos e Organizacionais na

Segurana de uma Unidade
3.1 Acidentes relacionados com Fatores Humanos e Organizacionais
No passado, os acidentes industriais eram reportados principalmente em termos de
mau funcionamento tecnolgico e o elemento humano na causa do acidente tendia a
ser ignorado (GORDON, 1998).
Atualmente, muitos autores tm estudado a relao dos fatores humanos e
organizacionais com os acidentes ocorridos. Segundo Salvi e Debray (2006), 80%
dos maiores acidentes tm causas relacionadas com fatores humanos e
organizacionais. De acordo com Pat-Cornell et al (1996), a maioria dos acidentes
severos tm mostrado envolver um ou mais erros humanos, normalmente
relacionados a problemas de gerenciamento.
Jacobsson et al (2009) analisou os principais acidentes industriais desde 1992 at
2005 e verificou que uma grande porcentagem (faixa de 50-80%) destes acidentes
foi causada por deficincia no sistema de gerenciamento de segurana e cultura de
segurana.
Segundo Nunes (2002), o erro humano relacionado com falta de treinamento e
capacitao tcnica uma das principais causas geradoras de acidentes nas
atividades industriais.
Para prevenir incidentes/acidentes e controlar os riscos, as empresas desenvolvem
sistemas sofisticados e novas solues tcnicas. Porm, necessrio tambm estar
atento ao comportamento dos operadores e gerentes, que devem ser
sistematicamente verificados, para que o controle seja eficaz e completo. De nada
adianta investir pesado em mquinas e equipamentos de ponta se a equipe no
estiver afinada com os objetivos da empresa.
Muitos dos graves desastres da histria, como Chernobyl, Three Mile Island e Piper
Alpha, tiveram como causa raiz ou fatores contribuintes, os fatores humanos.
(GORDON, 1998).
36

A seguir, um destes graves acidentes foi aleatoriamente escolhido e descrito, e os

principais problemas encontrados, decorrentes da anlise deste evento, so
apontados.
3.1.1 Acidente da Piper Alpha
Em 1988, houve um incndio seguido de exploso na plataforma de petrleo Piper
Alpha, que afundou no setor britnico do Mar do Norte, causando a morte de 167
pessoas. Somente 61 membros da tripulao sobreviveram. A Piper Alpha era uma
plataforma de produo de petrleo do Mar do Norte, operada pela Occidental
Petroleum (ATHERTON, 2008).
Em 6 de julho, num procedimento de manuteno, a vlvula de alvio localizada na
descarga da bomba reserva de condensado foi removida para inspeo e uma
permisso de trabalho foi aberta para a atividade, pelo supervisor da manuteno. O
turno de trabalho terminou e eles ainda no haviam reposto a vlvula. Um flange
cego foi colocado no local da vlvula e eles planejavam concluir a atividade no dia
seguinte (ATHERTON, 2008).
Houve troca de turno e o pessoal do novo turno no foi informado sobre a remoo
da vlvula. A permisso de trabalho aberta pelo supervisor da manuteno foi
apenas deixada por ele em cima da mesa do gerente, sem nenhuma comunicao
verbal ao turno seguinte (ATHERTON, 2008).
Mais tarde, a bomba de condensado primria falhou e os operadores realizaram a
partida da bomba reserva. O turno da noite sabia que a bomba reserva havia sido
colocada fora de servio para manuteno pelo turno anterior, mas acreditaram que
a manuteno no havia sido iniciada (ATHERTON, 2008).
Quando eles partiram a bomba reserva, dentro de segundos, uma grande
quantidade de gs comeou a escapar pelo flange cego que no havia sido bem
apertado. Logo aps, houve uma exploso numa rea de espao confinado (KLETZ,
1998). A exploso iniciou incndios secundrios no leo, derretendo a tubulao de
chegada de gs. O fornecimento de gs causou uma segunda grande exploso que
engolfou toda a plataforma. O sistema de dilvio automtico, projetado para conter
37

ou apagar incndios, no chegou a ser ativado porque estava em modo manual,

devido a operaes com mergulho. Os dutos de gs que estavam abastecendo o
fogo s foram fechados cerca de uma hora depois que eles tinham estourado, porm
o fogo continuou, abastecido com o leo e o gs da plataforma, presentes nos tubos
queimados (ATHERTON, 2008).
A tripulao comeou a agrupar-se na rea de alojamentos, na parte da plataforma
que era a mais distante da chama e parecia ser a menos perigosa, espera dos
helicpteros. Porm, os alojamentos no eram prova de fumaa e, devido falta
de treinamento, as pessoas abriram e fecharam as portas repetidamente, facilitando
a entrada de fumaa. Todas as rotas para os barcos salva-vidas foram bloqueadas
por fumaa e chamas e, na falta de qualquer outra instruo, algumas pessoas
saltaram no mar espera de resgate, por barcos. Foram salvos somente sessenta e
um homens. A maioria dos outros, os cento e sessenta e sete trabalhadores,
morreram sufocados na rea de alojamentos (ATHERTON, 2008).
Muitos problemas podem ser facilmente identificados na anlise deste acidente, tais
como:
Falha no procedimento de permisso de trabalho;
Falha de comunicao entre turnos;
Sistema de dilvio automtico desativado;
Fechamento tardio dos dutos de gs de abastecimento para a plataforma;
Ausncia de detector de fumaa nos alojamentos;
Falta de treinamento em situaes de emergncia;
Ausncia de bloqueio e etiquetagem;
Rotas de fuga para os barcos salva-vidas pareciam no ser as melhores
opes.
Acidentes frequentemente apontam erros humanos como causa imediata de uma
falha catastrfica, sugerindo ser inevitvel. Porm, frequentemente a anlise falha
no indo alm, ou seja, identificando os problemas organizacionais que so as reais
causas razes (PAT-CORNELL el al, 1996). Como por exemplo, no caso do
acidente da Piper Alpha, em que segundo Kletz (1998), o relatrio oficial concluiu
38

que o pessoal de operao no tinha comprometimento com o procedimento escrito,

j que o procedimento foi desconsiderado pelos trabalhadores.
Mas preciso prosseguir nas perguntas para obter-se uma anlise completa do
acidente e se chegar a real causa-raiz e fatores contribuintes do evento, como: Por
que o pessoal da operao no tinha comprometimento com o procedimento
escrito?; Havia um procedimento escrito?; Os trabalhadores foram devidamente
treinados neste procedimento?; A liderana estava comprometida com os
procedimentos?; Havia uma cultura de segurana na plataforma?. Pat-Cornell
(1996) foi alm do relatrio oficial nas suas anlises e chegou as seguintes
concluses:
Uma das razes porque o acidente de Piper Alpha foi to severo foi devido ao
fato dos gerentes de operao no agirem corretamente diante da severidade
do evento, pois no foram treinados para tal situao de emergncia.
Treinamento de emergncia essencial para uma operao com segurana.
(PAT-CORNELL et al, 1996).
Segundo Pat-Cornell (1993), a cultura interna de segurana desta
plataforma de trabalho era desencorajadora e a comunicao de ms notcias
de pequenos incidentes e quase-incidentes eram ignoradas. O aprendizado
sobre o acidente similar ocorrido um ano antes do desastre de 1988, em que
um homem foi morto devido falha no procedimento de permisso de
trabalho aps a mudana de turno, foi ignorado.
O acidente da Piper Alpha um tpico exemplo de como problemas no
gerenciamento podem induzir a comportamentos que ocasionam catstrofes
(PAT-CORNELL et al, 1996).

3.2 Fatores Humanos e Organizacionais
A definio tradicional de fatores humanos o estudo cientfico da interao entre
homem e mquina. Esta definio foi estendida recentemente para abranger os
efeitos que o indivduo, grupo e fatores organizacionais tm sobre a segurana
(GORDON, 1998).
39

Os fatores humanos so propriedades fsicas ou cognitivas do comportamento

individual ou social que especfico para os seres humanos. Envolve o estudo de
todos os aspectos do modo como os humanos se relacionam com o mundo ao redor
deles, com o objetivo de melhorar o desempenho operacional e de segurana.
Para controlar riscos e prevenir acidentes, incidentes e doenas, as empresas
desenvolvem sistemas de gerenciamento sofisticados e solues tcnicas. Mas no
podemos confiar somente em sistemas e tecnologias para atingir nossos objetivos.
Sem habilitar e aperfeioar um comportamento adequado da gerncia e do pessoal,
os esforos para melhorar os sistemas e a tecnologia podem ser em vo. Como
resultado, os fatores humanos devem ser sistematicamente considerados (DNV,
2009).
Alguns fatores como; a maneira que a organizao est estabelecida, como a
organizao gerencia seus recursos e que processos devem ser seguidos, podem
ter um grande impacto na segurana da unidade. Esses fatores so chamados de
fatores organizacionais e so aplicveis a todo tipo de organizao (CAMERA,
2011).
Os fatores humanos que afetam a segurana foram definidos por Gordon (1998)
como fatores organizacionais, de grupo e individual. Em nvel organizacional, a
autora cita vrios fatores que podem contribuir para a ocorrncia de um evento
indesejado, como por exemplo: programa de corte de custo, ou nvel de
comunicao entre os trabalhadores. Em um grupo, a relao entre os membros do
grupo de trabalho e entre seus supervisores, tem um potencial de influenciar a
segurana das instalaes. Individualmente, a otimizao da interface homem-
mquina avaliada, como por exemplo: a competncia individual, o stress, a
motivao ao trabalho, os problemas pessoais de sade e a contribuio para o erro
humano na probabilidade dos acidentes so examinados.
Muitas relaes entre fatores humanos e organizacionais tm sido propostas, porm
muitas delas tm diferentes significados. Alguns autores, como Gordon (1998), usam
o termo fatores humanos como um termo geral que engloba tanto os fatores
organizacionais (ex.: procedimento), como os fatores individuais (como motivao).
Porm, outros autores (ien, 2001) definem fatores organizacionais incluindo tanto
40

fatores individuais como aspectos do ambiente de trabalho (apud SCHNBECK,

2007).
Gordon (1998), revisando a literatura sobre fatores organizacionais, chegou
concluso que o clima organizacional muito importante para um ambiente de
trabalho seguro. Ressaltou tambm a necessidade do compromisso com segurana
do gerente snior, na estratgia, polticas, treinamentos, comunicao, poltica de
promoo e aprendizado com experincias antigas. claro que o comportamento e
comprometimento de todos os trabalhadores da organizao tambm contribuem
para este clima.
Baseado em Shappel e Wiegmann (2000), o clima organizacional pode ser visto
como a atmosfera do ambiente de trabalho. Um sinal do clima organizacional a
estrutura, refletida na cadeia de comando, delegao, autoridade e
responsabilidade, canais de comunicao e responsabilidade formal pelas aes. Se
no houver comunicao entre a administrao e a equipe, ou se no se sabe quem
est no comando, a segurana da organizao est em risco e os acidentes podero
ocorrer (apud CORREA e JUNIOR, 2007).
A cultura organizacional, por outro lado, refere-se s regras no oficiais, valores,
atitudes, crenas e costumes de uma organizao. A cultura representa a forma real
de como as coisas funcionam na empresa (SHAPPELL; WIEGMANN, 2000 apud
CORREA; JUNIOR, 2007).
O termo cultura de segurana o produto de valores individuais e de grupo:
atitudes, percepes, competncias e padres de comportamento que determinam o
compromisso com o gerenciamento de segurana e sade de uma organizao
(HURST et al, 1996). Uma unidade sem uma boa cultura de segurana
provavelmente no possui um bom gerenciamento de segurana.
3.3 Literatura sobre Fatores Humanos e Organizacionais
Antes de novos mtodos serem introduzidos na indstria qumica, existiam apenas
mtodos qualitativos para fatores gerenciais e humanos. Alm disso, poucas
avaliaes de confiabilidade humana haviam sido estudadas para a indstria
41

qumica, principalmente devido dificuldade de compreender o comportamento

humano (MEEL e SEIDER, 2007).
Abu-Khader (2004) analisou o impacto do comportamento humano no
gerenciamento da segurana de processo em pases desenvolvidos. Porm, teve
dificuldades em entender e quantificar este comportamento (apud MEEL e SEIDER,
2007).
Muitos estudos vm sendo desenvolvidos e propostos no sentido de tentar identificar
e quantificar os fatores humanos e organizacionais que podem prejudicar a
segurana de uma unidade operacional para tentar corrigi-los e agir assim, de forma
preventiva, evitar acidentes e incidentes.
O mtodo HORAAM (Human and Organizational Reliability Analysis in Accident
Management) foi introduzido para quantificar fatores humanos e organizacionais no
gerenciamento de acidentes, utilizando rvore de decises. Neste mtodo, o
primeiro passo realizado, atravs da observao, foi identificar os fatores de
influncia principais que afetam a confiabilidade dos fatores humanos e
organizacionais durante uma simulao de um acidente num centro de simulaes.
Estes fatores de influncia so usados como pontos iniciais para anlise atravs do
mtodo da rvore de decises. Neste estudo, sete especialistas avaliaram a
situao acidental para verificar os fatores de influncia e tambm para hierarquiz-
los e estimar o valor dos fatores agregados, para simplificar a quantificao da
rvore. Estes especialistas so membros do Instituto de Proteo e Segurana
Nuclear (IPSN), que normalmente so contratados para auxlio dos operadores de
uma unidade durante um acidente. Tambm foi utilizada uma nova ferramenta
matemtica, CADDIAQ, para aumentar a flexibilidade e eficincia do estudo
(BAUMONT et al, 2000).
Segundo Westfall-Lake (2000), baseado em eventos catastrficos, as pesquisas
mostram algumas ameaas comuns em mltiplas indstrias, como fadiga,
monotonia, trabalho excessivo e outros fatores culturais e polticas organizacionais.
Westfall-Lake (2000), preocupado com a qualidade do desempenho das tarefas em
unidades que operam vinte e quatro horas por dia, sete dias por semana, discutiu
42

duas estratgias para prevenir erros humanos relacionados com turno de trabalho
em plantas qumicas. Baseou-se em polticas e guias em nvel gerencial e de
engenharia para aumentar a segurana vinte e quatro horas e, com a adoo de
medidas apropriadas no nvel da operao, para prevenir erros humanos. Seu
trabalho ficou conhecido como treinamento contra fadiga.
Meel e Seider (2007) propuseram uma nova anlise quantitativa dos impactos da
interao de gerentes e engenheiros com os operadores e com a unidade de
processo no estado de falha da planta. Concluram que a equipe de gerenciamento,
engenharia e operadores tm impactos significativos sobre a confiabilidade do
processo.
Pat-Cornell et al (1996) props o modelo SAM (System Action- Management
Gerenciamento das Aes do Sistema), com o objetivo de estender a metodologia
de anlise probabilstica dos riscos para incluir aes humanas e fatores
organizacionais.
Este modelo relaciona as probabilidades de falha do sistema com fatores humanos e
gerenciais e inclui: primeiro, uma anlise probabilstica dos riscos do sistema fsico;
segundo, uma anlise das decises e aes que afetam a probabilidade dos eventos
bsicos; e terceiro, um estudo dos fatores gerenciais que influenciam estas aes e
decises (ATTWOOD et al, 2006).
Os dados utilizados no trabalho de Pat-Cornell et al (1996) so uma mistura de
estatsticas, opinies de experientes e modelos fsicos.
O modelo SAM foi utilizado para descobrir problemas organizacionais e gerenciais
que contribuem para uma operao insegura, e tambm para identificar, avaliar e
comparar medidas de gerenciamento, com o objetivo de reduzir o risco da operao.
Pat-Cornell et al (1996), atravs deste estudo, fez algumas consideraes, tais
como, melhorias no gerenciamento devem ser cuidadosamente consideradas como
medida de gerenciamento de risco e que estas melhorias podem ser mais efetivas
do que correes tcnicas; antes dos gestores apontarem algum problema da
operao eles devem se autoavaliar; as organizaes precisam estar atentas se as
metas estabelecidas podem ser atingidas sem atalhos; qualquer conflito entre as
43

polticas da empresa devem ser resolvidas em nvel gerencial ou delegadas a

pessoas competentes; a organizao deve possuir um bom canal de comunicao
formal e informal; o treinamento de emergncia essencial para a segurana; e
uma superviso rigorosa pode ajudar a controlar o problema da inexperincia dos
trabalhadores.
Com relao a medidas de mitigao de risco de projeto, normalmente os gerentes
focam em melhorias de hardware. Claro que o hardware tambm deve ser
considerado, porm, segundo Pat-Cornell et al (1996), em algumas empresas
medidas organizacionais poderiam ser mais custo-efetivas do que melhorias
tcnicas. Isto porque as pessoas, contrariamente aos hardwares, so imprevisveis e
so uma grande fonte de incertezas. Logo, melhorias no gerenciamento devem ser
consideradas como medidas de mitigao de risco.
Na maior parte do tempo os operadores ou tcnicos reagem de acordo com os seus
ambientes de trabalho, ao sistema de incentivo a que eles esto sujeitos e s
informaes que eles tm disponveis. O que o gerenciamento geralmente no
percebe so as implicaes que suas prprias polticas podem ter, ou seja, o que
eles esto realmente encorajando ou pedindo aos seus subordinados para fazerem
(PAT-CORNELL et al, 1996).
Pat-Cornell et al (1996) concluram que a incluso da anlise das aes humanas e
fatores gerenciais na anlise probabilstica de risco permite a melhoria e acurcia
dos resultados da anlise. A autora relata que o passo mais difcil do seu trabalho foi
a quantificao dos links entre os fatores gerenciais que influenciam as aes e
decises. Por fim, conclui tambm que, ao contrrio do que muito se ouve, as
pessoas so previsveis. Porm, o gerenciamento nem sempre conhece o prprio
ambiente de trabalho.
Segundo NBR 14280 o ato inseguro a ao ou omisso que, contrariando preceito
de segurana, pode causar ou favorecer a ocorrncia de acidente (ABNT, 2001).
Conhecer o ambiente de trabalho pode permitir s gerncias conhecer as fraquezas
e as falhas da sua organizao antes dos eventos indesejados ocorrerem. Analisar
os atos inseguros predominantes pode ajudar a prevenir problemas futuros.
44

Auditorias de falhas latentes podem ser realizadas sem que nenhum incidente tenha
ocorrido, como realizado no modelo do queijo suo.
Reason (2000) desenvolveu o modelo do queijo suo e introduziu a ideia de que um
acidente s ocorre quando as barreiras de segurana falham e, que estas falhas, na
maior parte das vezes, esto relacionadas com o gerenciamento delas.
No modelo do queijo suo, Reason (2000) diz que toda tecnologia perigosa possui
camadas de defesas. E cada uma destas camadas ou barreiras so como fatias de
queijo suo com buracos, colocadas lado a lado. Os buracos representam as falhas
de cada camada de proteo. Quando estes furos das camadas se alinham, podem
resultar num dano ou evento perigoso, como mostrado na Figura 7.

Figura 7 Modelo do Queijo Suio, proposto por Reason (2000)
Segundo Reason (2000), os sistemas de alta tecnologia tm muitas camadas de
defesa, algumas de engenharia, como alarmes, barreiras fsicas, desligamentos
automticos, outras defesas esto nas pessoas (operadores da sala de controle) e
ainda algumas outras dependem de procedimentos e controles administrativos. A
funo de todas elas a de proteger vtimas potenciais e o patrimnio dos perigos
do ambiente.
A eficincia e confiabilidade da barreira de segurana muito influenciada pela
qualidade do seu gerenciamento. As barreiras devem ser propriamente aplicadas,
mantidas e melhoradas para atingir seus objetivos. Alm do sistema de
gerenciamento de segurana efetivo, os trabalhadores tambm devem ter um claro
entendimento de como eles podem interagir com a segurana da unidade (SALVI e
DEBRAY, 2006).
45

Os buracos nas defesas surgem por duas razes: falhas ativas e falhas latentes. As
falhas ativas so representadas pelos atos inseguros cometidos pelas pessoas que
esto em contato direto com o sistema. As condies latentes so representadas
pelas patologias intrnsecas do sistema, e surgem a partir de decises dos
projetistas, construtores, elaboradores de procedimentos e do nvel gerencial mais
alto. As condies latentes podem criar buracos ou fraquezas duradouras nas
defesas (alarmes e indicadores no confiveis, procedimentos no exequveis,
deficincias projetuais e construtivas, dentre outros) (REASON, 2000).
As falhas ativas no podem ser previstas facilmente, mas as condies latentes
podem ser identificadas e corrigidas antes de um evento adverso. A compreenso
deste fato leva ao gerenciamento proativo ao invs do reativo (REASON, 2000).
Segundo Drogoul (2006), algumas crticas foram feitas ao modelo do queijo suo,
principalmente com relao a informaes insuficientes sobre a natureza dos furos
no queijo e suas inter-relaes e sobre a dificuldade da aplicao do mtodo como
ferramenta de investigao de acidentes.
Shappell e Wiegmann (2000) basearam-se na teoria de Reason (1990) e
propuseram um modelo para anlise e classificao dos erros humanos conforme
representado na Figura 8. (apud CORREA e JUNIOR, 2007).








46

Figura 8 - Modelo do Queijo Suo de Causas dos Erros Humanos.
Fonte: CORREA e JUNIOR, 2007.
A imensa maioria das anlises de acidentes atinge apenas a camada final e
prontamente indicam como causa do acidente: ato inseguro do operrio, sem
prosseguir adiante, o que impossibilita a correta investigao do acidente e, pior
ainda, inviabiliza a adoo de medidas preventivas (SHAPPELL e WIEGMANN,
2000 apud CORREA e JUNIOR, 2007).
O modelo do queijo suo descrito por James Reason (2000) vem sendo citado com
frequncia pelos engenheiros para explicar a ocorrncia de acidentes. Sua obra
defende que as adversidades ocorrem quando uma barreira que deveria evit-las
no funciona (BOSCO, 2008).
Algumas empresas, como a Braskem, vm implementando uma metodologia de
verificao da integridade das barreiras de segurana em seu modelo prprio de
auditoria de segurana de processos. A metodologia recebeu o nome de Garantia
de Integridade das Barreiras de Segurana de Processo. Nesta metodologia, os
47

riscos e suas barreiras so identificados e, em seguida, so verificados na unidade

em operao (BOSCO, 2008).
O objetivo do sistema de gerenciamento de uma planta garantir que as barreiras
estejam operando como especificadas ou requeridas e o objetivo da auditoria
verificar se elas esto atuando como deveriam (GULDENMUND et al, 2006).
Segundo Bosco (2008), os engenheiros passam a entender que no basta identificar
se o risco de determinado cenrio alto, mdio ou baixo. Mas que, dependendo de
como as barreiras que protegem este cenrio estejam sendo gerenciadas, esta
classificao pode mudar. E que um cenrio classificado como baixo ou mdio pode
ter a sua situao de risco deslocada para alto, quando uma determinada barreira
esteja indisponvel.
Segundo Correa e Junior (2007) o mtodo TRIPOD, citado a seguir, uma aplicao
clara da teoria do queijo suo de Reason.
O mtodo TRIPOD foi criado a partir de um programa de pesquisa sobre fatores
humanos nas investigaes de acidentes na indstria de petrleo. Foi desenvolvido
por Reason e Wagenar, na dcada de 1990, para a investigao de fatores
humanos na indstria de petrleo e se transformou em uma teoria sobre acidentes e
como eles acontecem. Este mtodo consiste em identificar as fragilidades que
contribuem para que um acidente ocorra e expor mecanismos de falhas latentes que
propiciariam a sua ocorrncia (MIRANDA et al, 2002).
Nas falhas latentes, as consequncias adversas podem estar dormentes dentro do
sistema por um longo tempo, e se tornam evidentes apenas quando combinadas
com outros fatores (por exemplo, treinamento) (GORDON, 1998). Este tipo de falha
normalmente causada por gestores, como j citado anteriormente.
O nome do mtodo tem origem nos trs aspectos chaves da causalidade dos
acidentes (Figura 9), que formam um trip (MIRANDA et al, 2002).


48

Figura 9 Viso Geral do TRIPOD.
Fonte: MIRANDA et al, 2002.
Atravs de estudos sobre a investigao de acidentes em diferentes departamentos
e unidades operacionais, Reason (1990) chegou a um conjunto de onze falhas
latentes, nomeadas de tipos gerais de falhas (TGF). So elas: hardware, projeto,
manuteno, procedimentos, condies de reforo de erro, arrumao e limpeza,
compatibilidade dos objetivos, organizao, comunicao, treinamento e defesas.
Estes tipos de falhas devem ser verificados, pois so necessrios para a
composio de um esquema de segurana aplicvel a diversas atividades
desenvolvidas nas empresas (apud GORDON, 1998).
Os mesmos tipos gerais de falhas so citadas por Groeneweg (1998), porm foram
nomeados como fatores de risco bsicos (apud CORREA e JUNIOR, 2007).
A tcnica de anlise de acidentes TRIPOD consiste no uso do mtodo da
causalidade do evento para a elaborao das rvores de acidentes que auxiliam na
determinao das fraquezas e das causas razes de modo eficiente e rpido,
partindo do acidente em direo s decises passadas (MIRANDA et al, 2002).
As auditorias de falhas latentes podem ocorrer sem que um acidente tenha ocorrido.
Um estudo destes foi realizado por um supervisor de perfurao em algumas
49

plataformas de petrleo do Mar do Norte. O objetivo deste estudo era medir o estado
da organizao em termos de falhas latentes. Primeiramente, o supervisor
identificou os TGFs e desenvolveu uma lista de verificao para cada tipo de falha e
os enviou para seis plataformas de petrleo. As listas de verificao foram
preenchidas e enviadas de volta ao supervisor. Neste estudo, o treinamento foi
apontado como o principal problema e hardware e defesas como os menores deles
(GORDON, 1998).
Com a adoo do mtodo TRIPOD, a empresa abandonou a ideia de que os
acidentes acontecem ao acaso e tm sempre um nico culpado, e passam a adotar
uma postura de investigao das causas subjacentes dos mesmos. Como
consequncia, houve uma mudana na avaliao dos acidentes, deixando-se de
considerar o fator humano (erro humano) como o nico culpado no processo que
conduz aos acidentes (MIRANDA et al, 2002).
Alguns autores passam a mudar o foco dos estudos. Segundo Reason (2000),
quando um evento adverso ocorre, o importante no quem cometeu o erro, mas
sim como e por que as defesas falharam.
Busca-se uma forma de identificao antecipada de falhas latentes da organizao e
do sistema, para que se possa agir de forma preventiva, tratando os problemas
encontrados, diminuindo assim os impactos negativos na operao da unidade e
evitando acidentes/ incidentes.
Nos ltimos anos, um grande esforo tem sido realizado para analisar as relaes e
identificar as ligaes mais importantes entre o sistema de gerenciamento e o nvel
de segurana da instalao. Parte deste esforo tem sido concentrado na
identificao destes aspectos do sistema do gerenciamento de segurana, como por
exemplo, polticas, procedimentos e controles que podem afetar o nvel de
segurana da unidade.
O Laboratrio de Segurana e Sade (Health and Safety Laboratory - HSL), diviso
do HSE
5
(Health and Safety Executive), desenvolveu ferramentas prticas de

5
HSE(HealthandSafetyExecutive)aentidadedaGrBetanhanacionalreguladoraindependentedo
trabalhorelacionadocomsade,seguranaedoena.
50

avaliao da gesto de segurana, como questionrios sobre atitudes de segurana

do local de trabalho, com o objetivo de incluir falhas humanas e organizacionais bem
como falhas dos sistemas de engenharia. Realizaram uma pesquisa especfica com
quinhentos incidentes de perda de conteno de vasos. Os resultados mostraram
que os incidentes poderiam ser evitados pela reviso de fatores humanos.
importante ressaltar que este trabalho tambm foi utilizado como uma forma de
alerta aos gerentes da unidade (HURST, 1997).
A prtica desta ferramenta de avaliao da gesto de segurana foi desenvolvida
pela Diviso de Operao de Campo (Field Operation Division FOD), e ficou
conhecida como STATAS (Structured Audit Techinique for the Assessment of Safety
management systems). O STATAS fornece uma avaliao dos mecanismos de
gesto, dos sistemas de controle de riscos e uma avaliao da cultura de segurana
da unidade (HURST, 1997).
Um outro estudo tambm liderado pelo Labortrio de Segurana e Sade (HSL) em
parceria com a Unidade de Pesquisa de Segurana (Safety Research Unit - SRU) da
Universidade de Liverpool foi desenvolvido com bases tericas, incluindo a anlise
de falhas de unidades de grande perigo, um questionrio especfico de atitudes de
segurana em plantas qumicas e de grande perigo (SAQ Safety Attitude survey
Questionnarie) (HURST, 1997). O SAQ foi projetado com o objetivo de quantificar as
atitudes de segurana nas plantas qumicas e de grande perigo. Porm, segundo
Hurst (1997) algum trabalho ainda precisa ser dedicado para transformar esta
ferramenta de pesquisa numa ferramenta prtica para ser utilizada na operao.
Com o objetivo de desenvolver links entre as normas de gerenciamento de
segurana e nveis de risco estimados nas unidades de grandes perigos, um sistema
de auditoria chamado PRIMA (Process Risk Management Audit), foi usado em
conjunto com o SAQ e aplicado em sete unidades de grande perigo, em quatro
pases da Europa (HURST, 1997).
A ferramenta PRIMA foi desenvolvida em 1993 e consiste num questionrio de
avaliao de atitudes de segurana e avaliao do sistema de gerenciamento de
segurana de processo. A ferramenta fornece uma medida quantitativa de atitudes
51

de segurana e do desempenho do gerenciamento de segurana do processo

(HURST et al, 1996).
A estrutura do trabalho PRIMA foi baseada em coleta de informaes sobre crenas
e atitudes de segurana e desempenho do sistema de gerenciamento do processo
de segurana. Para isto, uma auditoria foi realizada para a verificao quantitativa
do desempenho do sistema de gerenciamento de segurana de processo. Pessoas
de diferentes nveis de conhecimento da organizao participaram da auditoria e
produziram recomendaes teis para as autoridades da planta. As oito reas
auditadas foram: reviso do projeto, reviso dos fatores humanos e manuteno,
verificao das atividades de manuteno, rotina de inspeo e manuteno, reviso
dos fatores humanos das operaes, verificao da instalao, verificao dos
perigos da operao e verificao das operaes. A partir destes dados, pde-se
calcular um fator de modificao da anlise quantitativa de risco da unidade. Foi
observada uma forte correlao entre a taxa de acidentes reportadas pela unidade e
os fatores de modificao. Ou seja, quanto menor o fator de modificao, menor a
taxa de acidentes (HURST et al, 1996).
Em paralelo, um questionrio de atitude de segurana foi desenvolvido e aplicado. O
questinrio foi aplicado em seis unidades diferentes. No questionrio os
participantes davam uma nota de 1 a 7, sendo que 1 significava que estavam muito
de acordo e 7 muito em desacordo. Desta forma, obtiveram-se medidas quantitativas
das crenas e atitudes de segurana e do desempenho do sistema de
gerenciamento de segurana do processo. A atitude de segurana foi expressa com
uma pontuao em escala de atitude: positiva ou negativa. Esta escala de atitude
reflete a cultura de segurana nas unidades e identifica os pontos fortes e fracos da
organizao em termos de segurana (HURST et al, 1996).
O ARAMIS (Accidental Risk Assessment Methodology for Industries in the framework
of Seveso II Directive) foi desenvolvido atravs de uma parceria entre organizaes
de diferentes Estados da Unio Europeia, entre Janeiro de 2002 e Dezembro de
2004, com o objetivo de construir uma nova metodologia de avaliao dos riscos
para as indstrias em geral. Um dos interesses da metodologia ARAMIS fornecer
ferramentas para avaliar o sistema de gesto de segurana e a cultura de segurana
52

da unidade industrial, para ajudar os operadores a melhorarem seus programas de

gerenciamento de segurana e para conhecimento das autoridades competentes
(SALVI e DEBRAY, 2006).
Parte da metodologia ARAMIS consistia na elaborao de um protocolo de auditoria
focado nas atividades relacionadas com o ciclo de vida das barreiras de segurana.
Este ciclo de vida inclui o projeto, instalao, utilizao e manuteno das barreiras.
Para cada barreira, dez elementos estruturais de gerenciamento de segurana so
avaliados. Baseado no conceito das normas IEC 6150861511, para cada barreira
fornecido um nvel de confiana anexado a sua probabilidade de falha em demanda,
conforme indica a Tabela 2.
Tabela 2 - Definio de Nvel de Confiana das Barreiras de Segurana do Projeto ARAMIS
Fonte: SALVI e DEBRAY, 2006.
4 10
4
10
5
3 10
3
10
4
2 10
2
10
3
1 10
1
10
2
NveldeConfianada
Barreira
ProbabilidadedeFalhaem
DemandaEquivalente

Estes resultados so, ento, comparados aos resultados de um questionrio de
clima de segurana (contendo onze fatores culturais que caracterizam a cultura de
segurana de uma empresa) realizado com os funcionrios, representando as
barreiras comportamentais (SALVI e DEBRAY, 2006).
Durante os estudos de caso da metodologia ARAMIS, no que diz respeito
verificao do sistema de gerenciamento da unidade industrial, a opinio dos
operadores que esta auditoria foi til, mesmo requerendo muito esforo na seleo
das barreiras (SALVI e DEBRAY, 2006).
De acordo com Salvi e Debray (2006), algumas dificuldades foram encontradas no
modelo ARAMIS, como a obteno de dados confiveis para o clculo da
probabilidade dos acidentes e a quantificao da influncia do gerenciamento dessa
probabilidade. Segundo os autores estes pontos ainda precisam ser mais estudados.
53

Alguns mtodos ou modelos foram desenvolvidos para a incorporao de fatores

organizacionais em anlise quantitativa de risco, como Manager, MACHINE, WPAM,
SAM, I-RISK e ARAMIS (AVEN et al, 2006).
Embrey (1992) apresenta um modelo chamado MACHINE (Model of Accident
Causation using Hierarchical Influence Network), em que afirma que as causas
diretas dos acidentes so uma combinao de erros humanos, falhas de
equipamentos e eventos externos ao sistema (caractersticos do meio ambiente no
qual o sistema opera, como terremotos, neve, etc). O mtodo tenta aplicar os
conceitos da avaliao probabilstica, incorporando fatores de gerenciamento e
organizacionais.
O projeto BORA (Barrier- and Operational Risk Analysis) adaptou as ideias destes
projetos (Manager, MACHINE, WPAM, SAM, I-RISK e ARAMIS) para a indstria
offshore. O projeto BORA tem como objetivo incorporar fatores humanos e
organizacionais na anlise de risco quantitativa. Um dos passos deste projeto
calcular o risco especfico da instalao, incorporando os efeitos dos sistemas
tcnicos, condies tcnicas, fatores humanos e organizacionais e condies de
operao (AVEN et al, 2006).
Neste projeto primeiramente realiza-se o desenvolvimento do modelo de risco,
incluindo alguns requisitos humanos e fatores operacionais. Atribui-se as
probabilidades/ frequncias mdias da indstria, desenvolve-se o diagrama de
influncias, com o objetivo de identificar os seis fatores mais importantes que
influenciam o evento iniciador ou evento bsico e nesta etapa a participao do
pessoal da operao muito importante. O ltimo passo deste projeto consiste na
pontuao dos fatores de influncia (AVEN et al, 2006).
Desta forma, a anlise permite o estudo dos efeitos humanos e fatores
organizacionais para fornecer aos gerentes um suporte de deciso, j que a anlise
de risco permite a identificao dos fatores crticos.
De acordo com Aven et al (2006), um desafio deste projeto foi desenvolver uma
tabela de pontuao adequada para todos os fatores de influncia de risco. Ainda
54

sobre a pontuao dos fatores de influncia, Aven et al (2006) citam que vm

discutindo o uso dos questionrios para a pontuao dos fatores de influncia.
Em 2003, o Ministrio Holands dos Assuntos Sociais e do Emprego anunciou um
programa de subsdio para intervenes em empresas para melhorar a segurana
delas, concentrando-se particularmente em alteraes organizacionais ou fatores
gerenciais, com o objetivo de reduzir de 10 a 15% os acidentes em um ano.
Dezessete empresas foram analisadas, em diversos setores da indstria, como por
exemplo a indstria da construo, fabricao de veculos e indstria siderrgica
(HALE et al, 2010).
Algumas das intervenes aplicadas foram melhorias dos procedimentos de relato
de incidentes/acidentes e acompanhamento das aes; incluso de uma rotina de
inspees e auditorias; melhoria do procedimento de anlise e discusso da Anlise
Preliminar de Perigos (APP) com os trabalhadores; uso de questionrios formais
para verificar e avaliar atitudes dos profissionais; modificao do local de trabalho,
como os mtodos de trabalho e criao de campanhas de arrumao e limpeza;
fornecimento de treinamentos e workshops para diretores, gerentes, fora de
trabalho; incentivo e encorajamento para o relato de incidentes/acidentes e
situaes perigosas, entre outros (HALE et al, 2010).
A taxa de sucesso destes dezessete projetos foi um pouco menor que 50%,
indicando como difcil produzir alteraes culturais e organizacionais. Os
resultados enfatizaram a importncia da participao da alta gerncia e dos
profissionais de segurana.
A importncia do suporte da alta gerncia para o sucesso do desempenho de
segurana e alteraes destacada como fator de sucesso na aplicao da
metodologia, assim como a participao ativa, persistente e criativa do profissional
de segurana das empresas (HALE et al, 2010).
Hale et al (2010) enfatizam tambm a importncia do dilogo entre a fora de
trabalho e a gerncia como o fator mais essencial para garantir o aprendizado e
mudanas da organizao.
55

comum as empresas fornecerem treinamentos alta gerncia, e no aos gerentes

de linha. Hale et al (2010) constataram, pelos resultados do trabalho, que as
empresas de sucesso destacam-se por fornecerem treinamentos tambm aos
gerentes de linha.
O estudo dos fatores humanos pode ser utilizado para treinamento do pessoal, dos
supervisores e gerentes, como um meio de melhorar as suas atuaes, de forma
que eles estejam atentos a estes fatores no dia a dia da operao. Sem um bom
clima de segurana organizacional, em que todos contribuam, inconcebvel que
qualquer organizao tenha um ambiente de trabalho seguro.
O Programa Atuao Responsvel, marca registrada da Abiquim (Associao
Brasileira da Indstria Qumica), uma iniciativa da indstria qumica brasileira e
mundial destinada a demonstrar seu comprometimento voluntrio na melhoria
contnua de seu desempenho em sade, segurana e meio ambiente. O Sistema de
Gesto do Programa Atuao Responsvel visa aperfeioar as aes das indstrias
qumicas nas questes relativas sade, segurana e meio ambiente, observando
as recomendaes do ICCA (Internacional Council of Chemical Associations). O
Programa, lanado no Canad em 1985, foi introduzido no Brasil pela Abiquim h 20
anos (ABIQUIM, 2012).
Qualquer organizao, independente dos requisitos de sua linha de produtos ou
servios ou base de clientes, deve atingir trs metas: qualidade, conformidade e
confiana. A organizao deve conhecer o que qualidade para seus clientes e
alcana-la, de uma forma que esteja em conformidade com os requisitos impostos
pelos rgos normativos ou clientes ou pela prpria organizao, e finalmente, deve
fornecer confiabilidade aos colaboradores, clientes, acionistas e comunidade de que
ir atingir as outras duas metas (VERDE, 2012). As auditorias externas e internas de
segurana so uma forma de verificao da qualidade da gesto de segurana de
uma organizao e podem levar a um processo de melhoria contnua.
3.4 Verificao dos Fatores Humanos e Organizacionais dos Sistemas
Instrumentados de Segurana
56

Schnbeck (2007) revisou modelos e teorias relacionados com fatores humanos e

organizacionais para adapt-los e criar algo novo. O autor na sua dissertao de
mestrado props considerar os impactos dos fatores humanos e organizacionais nos
sistemas instrumentados de segurana.
O modelo do queijo suo altamente relevante para a fase de operao dos
sistemas instrumentados de segurana, pois visualiza a influncia dos fatores
humanos e organizacionais no desempenho das barreiras de segurana (neste
caso, os sistemas instrumentados de segurana) (SCHNBECK, 2007).
Outro modelo particularmente interessante para a fase operacional dos sistemas
instrumentados de segurana o ARAMIS, pois est diretamente relacionado com a
confiabilidade das barreiras (SCHNBECK, 2007).
O trabalho desenvolvido pela Braskem (BOSCO, 2008), de verificao da
integridade das barreiras de segurana na unidade em operao, para garantir a
integridade das barreiras de segurana de processo, bem similar metodologia
prtica proposta por Schnbeck (2007).
Schnbeck (2007) baseou-se nos onze tipos gerais de falhas de Reason (1990),
relacionou-os com os processos do ciclo de vida e reduziu os tipos de falha a oito e
os reformulou levemente para refletir os fatores humanos e organizacionais na fase
de operao dos sistemas instrumentados de segurana. Defesa, hardware e projeto
foram eliminados. Os oito tipos restantes foram renomeados como Fatores de
Influncia de Segurana e esto listados na Tabela 3.







57

Tabela 3 - Fatores de Influncia de Segurana na fase operacional dos sistemas instrumentados de
segurana
Fonte: (SCHNBECK, 2007).

Fatores de Influncia de Segurana
1. Manuteno
2. Procedimentos
3. Condio de Reforo de Erro
4. Arrumao e Limpeza
5. Compatibilidade dos Objetivos
6. Comunicao
7. Organizao
8. Treinamento
Alguns dos fatores estabelecidos por Schnbeck (2007) foram identificados tambm
por outros autores como pontos em que foram observadas necessidades de
melhorias, ou como pontos a serem auditados por serem considerados itens
relevantes para a segurana, como por exemplo: comunicao, citado por Gordon
(1998); treinamento, comunicao, citados por Pat-Cornell et al (1996);
manuteno, citado por Hurst et al (1996) no projeto PRIMA; procedimentos,
arrumao e limpeza, treinamentos, comunicao, citados por Hale et al (2010) no
programa de subsdio para intervenes em empresas holandesas.
O prximo passo do modelo proposto por Schnbeck (2007) estabelecer uma
relao entre os fatores de influncia de segurana e o SIL obtido no projeto. O
autor baseou-se no procedimento ARAMIS, com algumas diferenas, como:
Nesta abordagem o autor considera fatores humanos e organizacionais,
enquanto que o ARAMIS considera apenas fatores organizacionais;
Abordagem desenvolvida especificamente para os sistemas instrumentados
de segurana, que elimina a necessidade de distino entre os diferentes
tipos de barreiras.
58

Uma caracterstica deste modelo similar ao modelo ARAMIS a ligao entre os

fatores de influncia de segurana e o SIL obtido por fatores de peso. Na aplicao
prtica, isto representa uma vantagem considervel, pois reduz o esforo de coletar
dados (SCHNBECK, 2007).
O SIL obtido no projeto ser, nesta abordagem, denominado SIL de projeto. O autor
prope o clculo do SIL durante a fase de operao, chamado de SIL operacional,
que pode ser inferior ao SIL de projeto, devido aos fatores humanos e
organizacionais na fase de operao dos SIS (SCHNBECK, 2007).
A Figura 10 mostra os passos da abordagem proposta por Schnbeck (2007), que
se inicia com o SIL de projeto. O primeiro passo estimar a proporo do SIL de
projeto, que pode ser explicada por fatores humanos e organizacionais. Alguns SIS
so mais sensveis aos fatores humanos e organizacionais do que outros. Esta
proporo ser denotada por , que poder ser estimada usando o julgamento de
especialistas, ou pode ser baseada em experincia com sistemas similares.
59

1EstimarproporodoSIL
deprojetoexplicadopor
fatoreshumanose
organizacionais
SILdeprojeto
2Estabelecerpesosparaos
fatoresdeinflunciade
seguranaeclculodos
fatoresdepesonormalizados
3Taxarosfatoresde
influnciadesegurana
OK
4CalcularoSILoperacional
Aceitvel?
5Tomaraes
corretivasepreventivas
Listasde
Verificao
Sim
No

Figura 10 Passos da metodologia proposta por SCHNBECK (2007)

No segundo passo, para cada fator de influncia de segurana da Tabela 3,
denotado por i, ser estabelecido um peso relativo wt

, ( wt

u para todo i =
1, 2, , 8). Este peso relativo pode ser estabelecido como parte da auditoria de
60

segurana, tornando-os especficos para o sistema ou unidade em considerao, ou

podem ser determinados para o domnio de aplicao (ex.: offshore) usando o
julgamento de especialistas (SCHNBECK, 2007).
Aps estabelecido o peso relativo a cada fator de influncia, estes pesos so
normalizados atravs de (SCHNBECK, 2007):
wi =
wi

wi

8
i=1
(3.1)
O terceiro passo taxar os fatores de influncia de segurana atravs de listas de
verificao e questionrios, questes de preferncia com respostas sim e no,
realizadas numa auditoria. Cada fator de influncia de segurana taxado numa
escala de 0 a 1, sendo que zero indica que melhorias so desnecessrias e um
indica o oposto, que melhorias so requeridas. Em seguida, o nmero de questes
respondidas que causam preocupao so divididas pelo nmero total de questes,
esta frao subtrada de 1, chegando assim a uma taxa Ri para os fatores de
influncia de segurana i (SCHNBECK, 2007).
Como pde se verificar neste captulo, muitos autores utilizaram em seus estudos
listas de verificao como indicadores em seus modelos, como por exemplo no
mtodo TRIPOD para a identificao dos tipos gerais de falha do sistema, citado por
Gordon (1998); na pesquisa realizada pelo Labortrio de Segurana e Sade
(HSL) sobre atitudes de segurana do local de trabalho, na pesquisa realizada pelo
Labortrio de Segurana e Sade (HSL) em parceria com a Unidade de Pesquisa
de Segurana (SRU) para a anlise de falhas de unidades de grande perigo
(conhecido como SAQ), citado por Hurst (1997), a ferramenta PRIMA, para a
avaliao de atitudes de segurana e avaliao do sistema de gerenciamento de
segurana de processo, citado por Hurst et al (1996).
Parte da metodologia ARAMIS consistia na elaborao de um protocolo de auditoria
focado nas atividades das barreiras de segurana. A cada barreira de segurana
fornecido um nvel de confiana anexado a sua probabilidade de falha em demanda.
Estes resultados so ento comparados aos resultados de um questionrio de clima
de segurana (contendo onze fatores culturais que caracterizam a cultura de
61

segurana da empresa), realizado com os funcionrios, para obter maior

confiabilidade dos resultados obtidos (SALVI e DEBRAY, 2006).
O quarto passo o clculo do SIL operacional, atravs de (SCHNBECK, 2007):
SII opcrocionol = (1 - 0 Ri wi
8
=1
) SII pro]cto (3.2)
Onde:
a proporo de projeto que pode ser explicada por fatores humanos e
organizacionais (u 0 1);
Ri a taxa do fator de influncia de segurana i (u Ri 1 poro toJo i);
wi o fator de peso para os fatores de influncia de segurana i (u wi
1 poro toJo i).
Da Eq. (3.2) busca-se sempre uma aproximao a um valor inteiro, uma vez que o
SIL de uma funo instrumentao de segurana expresso por nmeros inteiros (1
a 4) (SCHNBECK, 2007).
O passo cinco fornece um guia para as aes corretivas e preventivas. Os fatores de
influncia de segurana com a maior taxa (Riwi) contribuem mais para a diferena
entre o SIL de projeto e o SIL operacional, logo requerem maior ateno
(SCHNBECK, 2007).
O autor indica que na prxima auditoria realizada na unidade as questes devem ser
alteradas para que diferentes itens sejam verificados e no ter repetio de
resultados, conforme tambm indica o mtodo TRIPOD (SCHNBECK, 2007).
Quando um fator de influncia precisar de melhoria, deve-se ento realizar as aes
corretivas sugeridas na auditoria realizada e voltar novamente ao passo 3
(SCHNBECK, 2007).
Schnbeck (2007) realizou um estudo de caso ilustrativo. Trabalhou com um sistema
instrumentado de segurana SIL 3, estimou um valor de 0,5 para 0, derivado da
investigao de incidentes da indstria de processo.
62

Baseado no fato de no encontrar outra evidncia que apontasse o contrrio,

Schnbeck (2007) estipulou que todos os fatores de influncia de segurana
possuam o mesmo grau de importncia, aps normalizadas todas eles ficaram
iguais a 0,125, ou seja, wi = u,12S.
As taxas Ri foram obtidas das auditorias realizadas e, usando a Eq. (3.2), o autor
obteve um valor de SIL operacional de 2,6, que foi aproximado para 3. No estudo de
caso, apesar do autor encontrar o mesmo valor para o SIL de projeto e o SIL
operacional, aes preventivas foram sugeridas, para evitar que este SIL
operacional casse para 2, j que foi realizada uma aproximao a um valor inteiro e
alguns problemas foram verificados. Dos resultados, o autor encontrou que dos
fatores de influncia verificados, compatibilidade dos objetivos e treinamento
obtiveram a maior taxa, logo precisariam de maior ateno.
Esta abordagem apresentada no foi aplicada na prtica por Schnbeck (2007),
portanto, o objetivo deste trabalho ser aplicar essa metodologia numa unidade
operacional de GNL.

63

Captulo 4 Gs Natural Liquefeito (GNL)

4.1 Introduo
O Processo de liquefao um processo termodinmico que consiste na passagem
de um gs para o estado lquido. importante destacar que alguns gases, como o
gs natural, no alteram seu estado apenas com o aumento de presso,
necessrio tambm o resfriamento.
A liquefao, devido reduo de volume ocupado pelo gs, permite o
armazenamento e transporte de quantidade de produto bem superior, comparado ao
gs. No caso do GNL, este volume se reduz em 600 vezes com relao ao gs
natural.
O GNL pode ser utilizado como combustvel para gerar calor, eletricidade e fora
para indstrias de diversos segmentos, mas ele principalmente produzido para
transportar o gs natural para locais mais afastados, onde o gasoduto torna-se
economicamente invivel.
O GNL possui alto poder calorfico e velocidade rpida de combusto; uma
alternativa energtica que possui menor impacto ambiental, j que possui
combusto limpa e baixa emisso de poluentes; possui preos competitivos em
relao a outros tipos de combustveis como GLP, diesel, leo combustvel, lcool e
gasolina (GNL, 2011).
O GNL exige um elevado investimento, que compensa apenas quando os gasodutos
no so tecnicamente viveis (travessias ou mares profundos), ou onde as
distncias dos gasodutos so muito extensas, de forma que estes tornam-se
inviveis economicamente. Alm disso, as perdas do gs durante o processo do
GNL superior (10 a 15% do gs) s perdas por transporte atravs de gasodutos (1
a 2% de perda do gs) (GAS, 2011).


64

4.1.1 Caracterizao do Produto Qumico: Gs Natural Liquefeito

O gs natural liquefeito (GNL), tambm conhecido como metano, ou lquido
refrigerado com alto teor de metano, como o prprio nome j diz, um gs liquefeito,
incolor e inodoro.
As propriedades do GNL variam de acordo com a sua composio, que dependem
da geologia de onde foi obtido o gs de origem. Logo, a composio do gs natural
varivel nos pases, nos estados, conforme apresentado na Tabela 4.
Tabela 4 - Composio do gs natural bruto em diferentes pases
Fonte: GAS, 2011.
ORIGEM
Pas/Campo Metano Etano Propano
C4e
Maiores
CO2 N2
USA/Panh. 81,8 5,6 3,4 2,2 0,1 6,9 42,7
USA/Ashlaw 75,0 24,0 1,0 46,7
Canad 88,5 4,3 1,8 1,8 0,6 2,6 43,4
Rssia 97,8 0,5 0,2 0,1 0,1 1,3 39,6
Austrlia 76,0 4,0 1,0 1,0 16,0 2,0 35,0
Frana 69,2 3,3 1,0 1,1 9,6 0,6 36,8
Alemanha 74,0 0,6 17,8 7,5 29,9
Holanda 81,2 2,9 0,4 0,2 0,9 14,4 0,640 31,4
Prsia 66,0 14,0 10,5 7,0 1,5 1,0 0,870 52,3
MardoNorte 94,7 3,0 0,5 0,4 0,1 1,3 0,590 38,6
Arglia 76,0 8,0 3,3 4,4 1,9 8,4 46,2
Venezuela 78,1 9,9 5,5 4,9 0,4 1,2 0,702 47,7
Argentina 95,0 4,0 1,0 0,578 40,7
Bolvia 90,8 6,1 1,2 0,0 0,5 1,5 0,607 38,8
Chile 90,0 6,6 2,1 0,8 0,640 45,2
RiodeJaneiro 89,4 6,7 2,3 0,5 0,3 0,8 0,623 40,2
Bahia 88,6 9,2 0,4 0,7 1,2 0,615 39,3
Alagoas 76,9 10,1 5,8 1,7 1,2 2,0 47,7
RioGrandedoNorte 83,5 11,0 0,4 2,0 3,2 0,644 38,5
EspritoSanto 84,8 8,9 3,0 0,9 0,3 1,6 0,664 45,4
Cear 76,1 8,0 7,0 4,3 1,1 1,5 52,4
COMPOSIOEM%VOLUME
Densida
de
PoderCalorfico
Superior
(MJ/Nm
2
)
Brasil

Conforme observado na Tabela 4, o GNL composto principalmente pelo metano, e
pode conter, em concentraes variveis, os seguintes contaminantes: etano,
propano, butano, nitrognio e dixido de carbono, entre outros.
65

O GNL inflamvel, pode causar misturas explosivas com o ar e em concentraes

moderadas pode causar dor de cabea, sonolncia, vertigem, excitao, excesso de
salivao, vmito e inconscincia, por sufocamento. Em contato com a pele, o
lquido pode causar queimaduras por congelamento. (WHITE, 2004).
4.1.2 Descrio de Processo de uma Unidade de Liquefao do Gs
Natural
Existem principalmente dois tipos de plantas de GNL: as plantas de nivelamento de
demanda (peak-shaving) e as de grande capacidade (base-load). As de nivelamento
de demanda so de menor capacidade (at 100.000t/ano) e so instaladas para
atender picos de demanda do cliente. Contam, tipicamente, com uma unidade de
liquefao, geralmente pequena, estocagem de GNL e planta de regaseificao
(PERTUSIER, 2003).
A Figura 11 descreve as principais etapas de uma planta do tipo nivelamento de
demanda (peak-shaving).
Compresso
Liquefao
Tratamentodogs
Regaseificao Odorizao
Estocagem
Etapasdeumaplantadotiponivelamentodedemanda(peakshaving)
g
a
s
o
d
u
t
o
d
e

n
a
t
u
r
a
l
CO2,H2S H2O Hidrocarbonetos pesados
g
a
s
o
d
u
t
o
d
e

n
a
t
u
r
a
l

Figura 11 - Etapas de uma planta do tipo nivelamento de demanda (peak-shaving.)
Fonte: KIDNAY e PARRISH, 2006.
66

As unidades de GNL que contm apenas estocagem e planta de regaseificao so

chamadas de unidades satlites. E as unidades de liquefao nas plantas de GNL
so chamadas de trens (KIDNAY e PARRISH, 2006).
As plantas de grande capacidade, como o prprio nome j diz, so de maior escala,
produzem GNL visando a comercializao em grandes volumes. Possuem
normalmente uma capacidade de produo acima de 2 MTPA (milhes de toneladas
por ano) de GNL. A maior parte da produo mundial de gs natural vem deste tipo
de planta. Estas plantas so dispostas para produzir gs natural das reservas
disponveis do poo (RONCEROS, 2008).
As etapas envolvidas deste tipo de planta vo desde a produo do gs e seu
processamento, passando pelo processo de liquefao, estocagem, transporte at o
cliente, e por fim as unidades de recebimento de GNL, que incluem
descarregamento, estocagem, regaseificao e distribuio do gs, conforme
representado na Figura 12 (KIDNAY e PARRISH, 2006).











67

Regaseificao Distribuio
RemoodeN2
Carregamentodo
Navio
Estocagem
Compresso
Liquefao
Descarregamento
doNavio
Estocagem
Etapasdeumaplantadotipograndecapacidade(baseload )
Operaesde
Campo
Compresso
TratamentodoGs
Recuperaode
Hidrocarboneto
CO2,H2S H2O
N2

Figura 12- Etapas de uma planta do tipo grande capacidade (base-load).

Fonte: KIDNAY e PARRISH, 2006.

A primeira planta do tipo nivelamento de demanda foi construda em 1939 no oeste
da Virgnia, EUA. Hoje em dia quase no existem plantas novas deste tipo. A
primeira planta do tipo grande capacidade foi posta em operao em 1964 na
Arglia (HRING, 2008).
A primeira planta de Liquefao de Gs Natural do Brasil foi inaugurada em agosto
de 2006 e est localizada em Paulnia (SP), tendo capacidade de liquefazer 380 mil
m/dia.
A Figura 13 representa um diagrama simples das etapas principais de uma unidade
de liquefao do gs natural.

68

Figura 13 Unidade de Liquefao do Gs Natural
Fonte: DANTAS, 2011.
A unidade de tratamento destina-se a remover as impurezas existentes no gs vindo
dos campos, como gs carbnico, enxofre, nitrognio, mercrio e gua, alm do
condensado. O motivo da remoo destes componentes, exceto para o mercrio, o
nitrognio e a gua, evitar o entupimento dos trocadores de calor, pela deposio
destes slidos. O nitrognio um diluente que em altas concentraes pode
aumentar o potencial para estratificaes. J o mercrio condensa em trocadores de
calor criognicos e forma um amlgama com o alumnio e pode danificar os
trocadores (KIDNAY e PARRISH, 2006), enquanto a gua removida para evitar
que se congele no processo de liquefao (RONCEROS, 2008).
A unidade de liquefao usa uma mistura de gs refrigerante nos trocadores de
calor para liquefazer o gs de alimentao j tratado e produzir o GNL. O gs natural
comprimido e enviado atravs de trocadores de calor, onde resfriado
temperatura de -161C, como o metano o principal constituinte do gs natural,
deve ser resfriado para se tornar lquido (KIDNAY e PARRISH, 2006).
O gs natural liquefeito a seguir armazenado em tanques capazes de mant-lo a -
161 C at o embarque em navios ou transporte em carretas criognicas para
69

atendimento do mercado. O tanque de estocagem de GNL trabalha a uma presso

ligeiramente superior presso atmosfrica.
A Figura 14 representa um diagrama de blocos simplificado de um sistema de
regaseificao.
Vaporizador
Calor
Odorizador
GasodutodeGs
Natural
GNL

Figura 14 Diagrama de blocos de um sistema de regaseificao simplificado.

Fonte: KIDNAY e PARRISH, 2006.

Na unidade de regaseificao o GNL bombeado do tanque de estocagem para o
vaporizador, onde o lquido torna-se gs novamente e passa pelo odorizador para
depois ser distribudo para os consumidores finais.
O gs natural pode ser transportado sem odorizao, exceto quando requerido por
normas de segurana aplicveis, porm, obrigatria a presena de odorizador na
distribuio (GAS, 2011).
4.1.3 Fontes de Perigo numa Unidade de GNL
As principais fontes de perigo de GNL ocorrem, entre outros, por (WOODWARD e
PITBLADO, 2010):
Vazamento de lquido sob presso;
Vazamento de lquido do tanque de estocagem;
Evaporao de poa de lquido para formar uma pluma de vapor inflamvel.
70

A maior preocupao de um vazamento de GNL o incndio em poa (pool fire). J

o jato de fogo (jet fire) requer liberao sob presso, que tambm pode ocorrer no
processo de produo do GNL (WOODWARD e PITBLADO, 2010).
Uma poa de GNL evapora rapidamente no cho ou em gua e produz uma nuvem
de vapor. O perigo desta nuvem atingir uma fonte de ignio a ocorrncia de um
incndio em flash (flash fire) (WOODWARD e PITBLADO, 2010).
O GNL em concentraes de 71,3% dilui o oxignio a menos de 6%, causando a
morte. Todavia essa concentrao de GNL existe apenas em local muito prximo do
ponto de vazamento. Em condies normais de variao da direo do vento e as
medidas mnimas de afastamento da pluma de vapor, esta situao difcil de
ocorrer numa das etapas de liquefao do GNL (WOODWARD e PITBLADO, 2010).
A queimadura por lquido criognico tambm um perigo presente na operao com
GNL, sabe-se tambm que o lquido criognico danifica o ao-carbono.
4.1.4 Histrico de Acidentes em Plantas de GNL
As principais etapas de operao do GNL so a unidade operacional e a
distribuio, seja por navios cargueiros, seja por carretas criognicas.
Como este trabalho se refere a uma unidade operacional de GNL, os acidentes
relacionados com esta etapa so descritos brevemente a seguir:
Cleveland, Ohio, EUA, 20 de Outubro de 1944.
Uma planta nivelamento de demanda foi construda pela Companhia de Gs de Ohio
em Cleveland, em 1941.
Em 1944, durante a II Guerra Mundial, a unidade foi expandida e trs novos tanques
foram construdos. Nesta poca, havia o racionamento de nquel no metal, no se
permitiam concentraes de 9% deste material, concentrao normalmente utilizada
para estes tanques. As paredes dos tanques foram construdas com ao contendo
apenas 3,5% de nquel.
71

Logo aps serem colocados em operao, os tanques tornaram-se frgeis quando

expostos a temperatura criognica do GNL. Aps a ruptura de um dos tanques, os
outros dois tambm romperam em seguida, e houve um derramamento de GNL no
esgoto da cidade. O acidente foi agravado pela ausncia de dique de conteno ao
redor dos tanques e pela proximidade da unidade industrial com a rea residencial.
O GNL vaporizou e com contato com uma fonte de ignio explodiu, matando cento
e vinte e quatro pessoas e ferindo cerca de duzentas a quatrocentas pessoas
(WOODWARD e PITBLADO, 2010).
O desastre de Cleveland destruiu setenta e nove residncias, duas fbricas,
duzentos e dezessete carros e sete trailers. A Figura 16 uma foto da cidade aps a
exploso (LNG, 2011).

Figura 15 Foto da destruio da cidade aps exploso
Fonte: LNG, 2011.
Ilha Canvey, Reino Unido, 5 de Julho de 1965.
72

Houve um derramamento de GNL de um tanque durante manuteno. O GNL sofreu

ignio, ferindo seriamente uma pessoa. O incndio foi extinguido aps 15 minutos.
Foi identificado como causa especfica falha na manuteno e drenagem e como
causa geral falha humana (SAFETY, 2009).
Portland, Oregon, EUA, Maro de 1968.
Em uma unidade de nivelamento de demanda havia quatro trabalhadores dentro de
um tanque de GNL inacabado, quando por um bloqueio indevido ou falta de
bloqueio, gs natural de uma tubulao de um gasoduto sendo testada foi
direcionada para dentro do tanque, que sofreu ignio e em seguida explodiu. Nem
o tanque, nem a unidade de GNL haviam sido comissionados quando o acidente
aconteceu (SAFETY, 2009).
Ilha de Staten, Nova Iorque, EUA, Fevereiro de 1973.
Em um terminal de importao de nivelamento de demanda com tanques revestidos
de membrana, houve um vazamento de gs natural entre a membrana e a parede
do tanque. O tanque foi retirado de servio para reparo. Um rasgo foi encontrado por
debaixo do revestimento. Durante os reparos no foram utilizados revestimentos
prova de exploso, em desacordo com os procedimentos operacionais, que pediam
que fossem utilizados. O gs confinado atrs da membrana sofreu ignio,
resultando em incndio. Com o aumento de temperatura, a presso no tanque
aumentou, de forma que ergueu a calota superior de concreto do tanque, que caiu
sobre os trabalhadores (Figura 17), matando 37 pessoas (WOODWARD e
PITBLADO, 2010).
73

Figura 166 - Foto do acidente de Fevereiro de 1973, Ilha de Staten, EUA.
Fonte: LNG EXPLOSION, 2011.
Arzew, Arglia, 1977.
Um trabalhador da unidade CAMEL foi congelado at a morte quando foi atingido
por GNL pressurizado, que foi liberado atravs da ruptura de uma vlvula, localizada
no topo de um tanque de estocagem. Cerca de 1.500 a 2.000m
3
foram liberados
para a atmosfera, mas esta nuvem de vapor no sofreu ignio. A vlvula que
rompeu era de alumnio, normalmente as vlvulas para GNL so construdas de ao
inox (SAFETY, 2009).
Lusby, Maryland, Cove Point, EUA, 06 de Outubro de 1979.
No terminal de importao de GNL de Cove houve um vazamento de GNL atravs
do selo de uma bomba eltrica mal apertada. Este produto vaporizou e fluiu atravs
do conduite eltrico para a subestao. Como no era esperada a presena de GNL
neste prdio, no havia detector instalado. Um trabalhador desligou o disjuntor,
provocando a ignio de vapores de gs por arco do disjuntor, matando um
trabalhador e ferindo seriamente outro, fora os danos causados no prdio de
aproximadamente U$3 milhes de dlares (WOODWARD e PITBLADO, 2010).
74

Pinson, AL, EUA, Agosto de 1985.

Numa unidade de nivelamento de demanda, a solda de um pequeno remendo (placa
de 8 x 12) num vaso de alumnio de 3ft de dimetro e 7ft de altura falhou durante a
transferncia de GNL da unidade de liquefao. A placa remendada foi projetada
dentro de um galpo que continha sala de controle, sala da caldeira e escritrios, o
GNL vazou e sofreu ignio, ferindo 6 trabalhadores (WOODWARD e PITBLADO,
2010).
Mercury, NV, EUA, 29 de Agosto de 1987.
Durante um teste do Departamento de Energia norte-americano, aps uma
sequncia de testes de rpidas transies de fases, a nuvem de vapor sofreu
ignio. O incndio queimou durante cerca de 30s e as chamas atingiram uma altura
de 20ft. Oficialmente a possvel causa foi uma fagulha gerada pela eletricidade
esttica aproximadamente 76s aps o derramamento (WOODWARD e PITBLADO,
2010).
Thurley, Reino Unido, 1989.
Em uma unidade de nivelamento de demanda, estavam degelando os
vaporizadores, preparando para envio de GNL, para isso abriram algumas vlvulas
de dreno. Esqueceram de fechar uma das vlvulas de dreno e ao ligarem a bomba
para o envio de GNL para os vaporizadores, foi liberado GNL em jato a alta presso
e a nuvem de vapor sofreu ignio em cerca de 30s. Houve um incndio de jato de
fogo que queimou as mos e rosto de dois operadores (WOODWARD e PITBLADO,
2010).
Skikda, Arglia, 19 de Janeiro de 2004.
Em uma planta de liquefao de gs natural Sonatrach a linha de refrigerante vazou
e liberou vapores que foram succionados pela entrada de ar da caldeira. A caldeira
explodiu e danificou outras linhas, o que ocasionou uma grande exploso (Figura
18), causando muitos danos unidade, trs trens de GNL foram destrudos, 27
funcionrios morreram e 80 foram feridos (WOODWARD e PITBLADO, 2010).
75

Figura 177 - Foto do acidente de 19 de Janeiro de 2004, Skikda, Arglia.
Fonte: RILEY, 2011.
Como se pode observar dos eventos ocorridos em unidades de operao de GNL,
muitos fatores contribuintes ou at mesmo causas razes dos eventos citados acima
esto relacionados com fatores humanos ou organizacionais.
Por isso, o estudo destes fatores muito importante para que se possa agir de
maneira preventiva e, desta forma, evitar acidentes futuros.
4.1.5 Unidade Operacional de GNL de anlise
Neste trabalho, o nvel de integridade de segurana, calculado na fase de projeto de
uma planta de GNL, relacionado com fatores humanos e organizacionais desta
unidade em operao, e um novo SIL operacional calculado. Busca-se desta forma
entender como ou quanto estes fatores podem afetar o SIL de projeto.
O estudo realizado na unidade de liquefao de gs natural que est instalada e
operando em Paulnia (SP) h cinco anos. Esta unidade composta por uma planta
de liquefao, tanques de estocagem de GNL e bombas de enchimento de carretas
criognicas. Por questes de sigilo, o nome da unidade no ser revelado.
76

No captulo seguinte descrita a metodologia aplicada para o clculo do SIL

operacional.



















77

Captulo 5 Estudo de Caso Aplicao a uma Planta de GNL

5.1 Introduo
Neste captulo, descrita a metodologia de aplicao da teoria de Schnbeck (2007)
em uma unidade em operao de GNL. A seguir, os cinco passos desta metodologia
so descritos.
5.2 Passo 1: Estimar
O primeiro passo da metodologia estimar a poro do SIL de projeto que pode ser
explicada por fatores humanos e organizacionais, denotada por . Dependendo do
projeto do sistema e condies de operao, alguns sistemas instrumentados so
mais sensveis a fatores humanos e organizacionais do que outros.
Parte-se de uma Funo Instrumentada de Segurana com SIL 2, contendo os
seguintes sistemas instrumentados de segurana: indicador de presso, indicador
da posio da vlvula automtica, indicadores de temperatura, alarme contra alta
temperatura, chave de desligamento contra alta temperatura, controlador, chave
contra baixo fluxo e vlvula automtica.
Decidiu-se adotar a mesma concepo que Schnbeck (2007) em seu caso
ilustrativo, onde 0 = u,S, derivado da investigao de incidentes da indstria de
processo (HURST el al 1996; PAPAZOGLOU et al, 1999). Segundo Schnbeck
(2007), essa proporo pode ser estimada para um sistema especfico usando o
julgamento de especialistas, ou pode ser baseada em experincias anteriores com
sistemas similares sob condies de operao similares.
5.3 Passo 2: Estabelecer pesos relativos wt

e clculo de wi
O segundo passo , designar um peso relativo wt

(wt

0 para todo i= 1, ..., 8) para

cada fator de influncia i.
Utilizando-se os fatores de influncia de segurana i considerados por Schnbeck
(2007), apenas agrupou-se arrumao e limpeza com organizao. O termo
78

organizao frequentemente tem sido empregado como sinnimo de arrumao,

ordenao, eficincia (SIQUEIRA, 2011). Por isso optou-se por agrupar esses dois
fatores em um s. Obtiveram-se ento, os sete fatores de influncia de segurana
listados na Tabela 5.
Tabela 5 - Fatores de Influncia de Segurana na fase operacional dos sistemas instrumentados de
segurana

FatoresdeInflunciadeSegurana
1GerenciamentodeManuteno
2Procedimentos
3CondiesdeReforodeErro
4Organizao,ArrumaoeLimpeza
5CompatibilidadedosObjetivos
6Comunicao
7Treinamento Experincia,conhecimentodosoperadores
Descrio
Condiesqueforamaspessoasatrabalharde
maneiranoprevistanoprojeto
Ordem,organizaoelimpezadareadetrabalho
Compatibilidadedeobjetivosentreindivduo,
grupoenvelorganizacional
Qualidade,relevncia,disponibilidade
Gerenciamentodasatividadesdemanuteno
Comunicaoentretrabalhadores

Baseado no fato de no encontrar outra evidncia que apontasse o contrrio,
conforme no trabalho de Schnbeck (2007), estipulou-se que todos os fatores de
influncia de segurana possuem o mesmo grau de importncia, logo, os pesos
relativos de cada fator i, wt

= 1. Usando a equao 5.1 , proposta por Schnbeck

(2007), estes pesos so normalizados.
wi =
wi

wi

i=1
(5.1)
Obtem-se wi =
1
7
= 0,143
5.4 Passo 3: Taxar os Fatores de Influncia de Segurana (Ri)
Primeiramente, para o clculo de Ri desenvolveram-se listas de verificao para
cada fator de influncia de segurana.

79

5.4.1 Desenvolvimento das Listas de Verificao

Com o objetivo de taxar os fatores de influncia de segurana i, uma lista de
verificao contendo de dez a quinze questes foi desenvolvida para cada um dos
fatores de influncia listados na Tabela 5. Para o desenvolvimento das listas de
verificao, primeiramente baseou-se nos conceitos de cada um dos fatores de
influncia e tambm nas fontes descritas a seguir.
1 - Gerenciamento de Manuteno: A filosofia bsica de manuteno manter o
equipamento e a unidade operacional em condies prprias e confiveis,
identificando problemas nos seus estgios iniciais, realizando os ajustes
apropriados, e corrigindo problemas na primeira oportunidade para minimizar
desligamentos no planejados da unidade (CHEMICAL, 2011).
Algumas questes deste fator de influncia foram baseadas no Captulo 15 da 2
edio do livro Safety Instrumented Systems: Design, Analysis, and Justification
(GRUHN e CHEDDIE, 2006). Este captulo contm listas de verificao de
segurana de processo dos Sistemas Instrumentados de Segurana, baseados nas
normas das indstrias e acmulo de conhecimento. Estas listas de verificao
cobrem todo o ciclo de segurana dos SIS. As perguntas que eram aplicveis ao
ciclo de vida de segurana aps a partida da unidade operacional, relacionadas com
gerenciamento de manuteno, foram verificadas e utilizadas.
Outras questes foram baseadas na folha de dados da FM Global, empresa de
seguro, lder comercial que faz parcerias com empresas para apoiar os objetivos de
gesto de riscos (CHEMICAL, 2011). Esta folha de dados contm recomendaes
para o desenvolvimento efetivo de um programa de manuteno e inspeo nas
unidades em operao e tambm fornece um guia para a verificao da qualidade
do programa de manuteno e inspeo das unidades.
O site de gerenciamento de risco e segurana (PROCESS, 2011), que contm listas
de verificao de fatores humanos na anlise de perigo de processo. Algumas
questes aplicveis rea de manuteno basearam-se nesta pesquisa.
80

2- Procedimentos: Um procedimento tem o objetivo de padronizar e minimizar a

ocorrncia de desvios na execuo de tarefas fundamentais para a qualidade do
exame, independente de quem as faa. Ou seja, aumenta-se a previsibilidade de
seus resultados, minimizando as variaes causadas por impercia e adaptaes
aleatrias da metodologia, independente de falta, ausncia parcial ou frias de um
funcionrio. O procedimento tambm tem uma finalidade interna de ser um timo
instrumento para a gerncia da qualidade realizar auditorias internas. (DUARTE,
2005).
E algumas questes deste fator de influncia foram baseadas tambm em Gruhn e
Cheddie (2006). As perguntas que eram aplicveis, relacionadas com
procedimentos, foram verificadas e utilizadas.
Outras questes tambm foram baseadas na folha de dados da FM Global
(CHEMICAL, 2011).
3 Condies de Reforo de Erro: Segundo Pat-Cornell et al (1996), Perrow cita
que os operadores de centrais nucleares algumas vezes desabilitaram sistemas
automticos e dispositivos de segurana com o objetivo de atender s metas de
produo definidas pela organizao. Este seria um bom exemplo de uma condio
(a presso por parte da gerncia) que refora um erro.
Uma questo foi baseada na folha de dados da FM Global (CHEMICAL, 2011).
Outras questes foram baseadas no site de gerenciamento de risco e segurana
(PROCESS, 2011).
4- Organizao, Arrumao e Limpeza: A organizao, arrumao e limpeza so
fatores indispensveis para a preveno de acidentes e manuteno da sade nos
locais de trabalho. Objetos de uso dirio devem estar o mais prximos possvel e em
locais de fcil acesso, j os de utilizao menos frequente devem ser arquivados
num armrio. A sinalizao visual deve ser simples, bem-definida e arejada pois
ajuda os funcionrios a circularem com mais agilidade e rapidez nas reas internas
da empresa. Mesa e instrumentos de trabalho devem ser guardados e limpos no
81

final da tarde, para que se possa comear sem agitao o dia seguinte (CRIANDO,
2011).
Algumas questes de arrumao, organizao e limpeza foram baseadas do site da
empresa MANN+HUMMEL (CRIANDO, 2011) que desenvolve, produz e
comercializa componentes automotivos complexos. Fala da importncia da
segurana, organizao e limpeza da empresa em questo.
Uma questo foi baseada no site de gerenciamento de risco e segurana
(PROCESS, 2011).
As instrues de segurana, meio ambiente e sade para contratadas da Petrobras
(INSTRUES, 2011) tambm foram consultadas e serviram de apoio no
desenvolvimento de algumas questes, que foram adaptadas para aplicao na fase
de operao de uma unidade.
5 Compatibilidade dos Objetivos: Para que uma empresa tenha o mesmo objetivo
de produtividade, operao ou de segurana, todos os trabalhadores devem ter um
objetivo comum, isto , deve existir a compatibilidade entre os objetivos individuais,
coletivos e organizacionais.
Uma questo aplicvel compatibilidade dos objetivos, foi baseada em Gruhn e
Cheddie (2006).
O artigo de Salas et al (2006) tambm foi utilizado como fonte para o
desenvolvimento da lista de verificao deste fator de influncia. Este artigo contm
uma lista de verificao sobre gesto de recursos e fatores organizacionais.
O trabalho de ps-graduao de Souza (2011) apresenta algumas listas de
verificao como meio de identificao de perigos, este trabalho tambm foi
consultado e algumas perguntas foram retiradas deste trabalho.
6 Comunicao: Um programa consistente de comunicao evita desvios de
informao, cria uma cadeia de responsabilidades e capacita o colaborador como
um multiplicador consciente dos princpios e dos objetivos da empresa.
82

O site de gerenciamento de risco e segurana (PROCESS, 2011) foi consultado

para este fator de influncia.
7 Treinamentos: Um programa de treinamento efetivo ajuda os empregados a
entenderem os perigos associados com as tarefas que eles realizam. O pessoal de
manuteno e operao deve receber treinamentos das atividades que executa em
operao normal e tambm em situaes de desligamento de emergncia e partida
(CROWL e LOUVAR, 2002).
As perguntas que eram aplicveis a treinamento das listas de verificao de Gruhn e
Cheddie (2006) foram verificadas e utilizadas.
As listas de verificao sobre gerenciamento do treinamento dos funcionrios de
Salas et al (2006) tambm foram utilizadas.
Nas listas de verificao no foi colocada nenhuma informao no intuito de
identificar o trabalhador entrevistado, apenas a informao de tempo gasto para o
preenchimento das questes e qual a funo exercida pelo trabalhador.
Os questionrios foram realizados com respostas objetivas (positivas, negativas ou
no aplicveis) para facilitar a posterior verificao das respostas e acelerar o
processo de auditoria. Quando respondidas NO, indica que existe algum ponto
negativo que precisa ser melhorado.
A forma final das listas de verificao utilizadas durante as entrevistas est
apresentada no Anexo I deste trabalho.
5.4.2 Clculo da Taxa dos Fatores de Influncia de Segurana (Ri)
Em 30/11/2011 os trabalhadores da unidade em operao de GNL, localizada em
So Paulo, foram entrevistados, para medida da taxa dos fatores de influncia de
segurana Ri. Para isso foram utilizadas as listas de verificao apresentadas no
Anexo I deste trabalho. Foram entrevistados ao todo sete trabalhadores da
operao, quatro trabalhadores de manuteno e um supervisor de operao. O
tempo mdio gasto por entrevista foi de aproximadamente 20 minutos.
83

Antes do incio das entrevistas fui apresentada ao grupo pelo supervisor de

operao e em seguida explicou-se a cada um deles, no incio das entrevistas, que o
objetivo das entrevistas era tentar identificar se alguma melhoria era necessria na
unidade e que a entrevista no duraria muito tempo, j que era s responder
afirmativa ou negativamente.
Ao todo, a unidade tem quatro trabalhadores na manuteno, um supervisor de
operao e treze da operao. No dia da inspeo, entrevistaram-se todos os
trabalhadores da operao e manuteno da unidade.
O nico fator de influncia no aplicvel a todos os trabalhadores o
Gerenciamento de Manuteno, apenas os trabalhadores da manuteno e o
supervisor de operao foram questionados sobre este fator. Todos os outros
fatores de influncia foram verificados com todos os trabalhadores.
Quando um trabalhador no sabia a resposta das perguntas das listas de
verificao, por no fazer parte da sua rotina de trabalho, ele era orientado a
responder no aplicvel pergunta.
O estado de cada fator de influncia da Tabela 5 foi medido durante uma auditoria
utilizando as listas de verificao. Seguindo o proposto por Schnbeck (2007), cada
fator de influncia taxado de 0 a 1, sendo que 0 significa a melhor taxa e 1 a pior
(ateno imediata necessria).
Subsequentemente, o nmero de indicadores que precisam de melhorias foi dividido
pelo nmero total de indicadores utilizados para este fator de influncia de
segurana e esta frao foi subtrada de 1, fornecendo assim a taxa Ri para o fator
de influncia i.
Por exemplo, para o fator de influncia Gerenciamento de Manuteno, aplicvel
aos quatro trabalhadores de manuteno e ao supervisor de operao, um dos
trabalhadores respondeu que trs questes (das doze) no eram aplicveis rotina
de trabalho dele e as outras nove respondeu positivamente, outros dois
trabalhadores responderam uma questo negativa e onze positivamente e os outros
dois trabalhadores responderam as doze questes positivamente, obteve-se:
84

Ri = 1 -
9+11+11+12+12
9+12+12+12+12
= u,uSS
O mesmo foi realizado para todos os outros seis fatores analisados. Estes valores
esto apresentados na Tabela 6.

Tabela 6 Resultados obtidos com as auditorias de segurana para Rt
FatoresdeInflunciadeSegurana Ri
1GerenciamentodeManuteno 0,035
2Procedimentos 0,035
3CondiesdeReforodeErro 0,020
4Organizao,ArrumaoeLimpeza 0,000
5CompatibilidadedosObjetivos 0,031
6Comunicao 0,007
7Treinamento 0,016

5.5 Passo 4: Clculo do SIL Operacional
O quarto passo calcular o SIL operacional, que obtido atravs da seguinte
frmula, proposta por Schnbeck (2007):
SII
opcuconuI
= (1 - 0 wiRi) SII
po]cto

7
=1
(5.2)
- onde 0 = u,S, a proporo do SIL de projeto que pode ser explicado por fatores
humanos e organizacionais;
- R

a taxa para os fatores de influncia de segurana, os valores esto

representados na Tabela 6;
- w

= u,14S, onde w

o fator de peso para o fator de influncia de segurana i;

- SII
po]cto
= 2.
Substituindo todos os valores na equao 5.2, obtm-se:
SII
opcuconuI
= 1,98.
85

O resultado da equao (5.2) aproximado para o valor inteiro mais prximo, logo
aproximado para 2.
5.6 Passo 5: Aes Corretivas e Preventivas
O passo cinco fornece um guia para aes corretivas ou preventivas. Os fatores de
influncia de segurana com maior taxa de peso (wiRi) contribuem mais para a
diferena entre o SIL de projeto e o SIL operacional e mais ateno necessria.
(Schonbeck, 2007)
A Tabela 7 representa os valores da taxa de peso dos fatores de influncia de
segurana (wiRi) e a Figura 19 representa graficamente estes valores.

Tabela 7 - Taxa de peso dos fatores de influncia de segurana (W|R|)
FatoresdeInflunciadeSegurana Ri WiRi
1GerenciamentodeManuteno 0,035 0,005
2Procedimentos 0,035 0,005
3CondiesdeReforodeErro 0,020 0,003
4Organizao,ArrumaoeLimpeza 0,000 0,000
5CompatibilidadedosObjetivos 0,031 0,004
6Comunicao 0,007 0,001
7Treinamento 0,016 0,002


86

0,000 0,001 0,002 0,003 0,004 0,005

1 GerenciamentodeManuteno
2 Procedimentos
3 CondiesdeReforodeErro
4 Organizao, ArrumaoeLimpeza
5 Compatibilidade dosObjetivos
6 Comunicao
7 Treinamento
Taxa de peso (WiRi)

Figura 188 - Taxa de peso dos fatores de influncia de segurana (WtRt)
Pode-se observar que os fatores de influncia de segurana que apresentaram uma
maior taxa de peso (wiRi) foram procedimentos e gerenciamento de manuteno,
seguido de compatibilidade dos objetivos, condies de reforo de erro, treinamento
e comunicao. Organizao, arrumao obteve taxa zero.









87

Captulo 6 Concluso

6.1 Anlise dos Resultados
Atravs das entrevistas realizadas, conseguiu-se atingir o objetivo e calcular o SIL
operacional de uma unidade em operao de GNL.
Durante as entrevistas, a princpio, os trabalhadores estavam um pouco
desconfiados. Entretanto, assim que comearam a responder s perguntas dos
questionrios, perceberam que no havia identificao e que o objetivo das
questes era ajud-los. Ento, sentiram-se mais vontade.
Tentou-se no alongar muito as perguntas, uma vez que os trabalhadores tinham
suas atividades dirias para cumprir. Como as respostas eram objetivas, isto ajudou
na rapidez do processo. As entrevistas duraram, em mdia, cerca de 20 minutos,
para cada entrevistado.
Apesar da aproximao para um valor inteiro, o resultado das listas de verificao
indica que a unidade mantm na fase de operao o mesmo valor de SIL de projeto,
demonstrando que no h razes para questionar ou duvidar da correta
administrao dos fatores humanos e organizacionais, j que no foi identificado
nenhum fator que apresentasse perigo iminente. Pela visita e entrevistas realizadas,
percebeu-se que a rea de trabalho bem organizada, limpa e arrumada. Percebeu-
se tambm um enorme comprometimento dos trabalhadores com a segurana da
unidade, fato este que foi comprovado com os resultados das entrevistas.
Pde-se observar que este modelo, alm de servir como uma ferramenta de
verificao se os fatores humanos e organizacionais esto influenciando
negativamente os sistemas instrumentados de segurana, ou seja, o SIL da unidade,
tambm serve para indicar qual fator de segurana precisa de mais ateno, isto ,
funciona como um guia para aes corretivas ou preventivas.
Com relao aos fatores de influncia de segurana, verificou-se um timo resultado
em Organizao, Arrumao e Limpeza, j que todas as questes foram
88

respondidas positivamente por todos os trabalhadores. Os fatores de influncia de

segurana que apresentaram os piores resultados foram Procedimentos e
Gerenciamento de Manuteno. Com relao aos procedimentos, a pergunta que
obteve duas respostas negativas foi Os procedimentos de manuteno so
suficientemente detalhados e de fcil entendimento, de forma a no deixar nenhuma
interpretao ou deciso importante para o pessoal da manuteno?. O outro fator
de segurana (Gerenciamento de Manuteno) obteve duas respostas negativas na
pergunta A gerncia investe na manuteno preventiva dos equipamentos?. Em
terceiro lugar ficou Compatibilidade de Objetivos, que recebeu duas respostas
negativas com a pergunta Existe suporte do gerenciamento com relao ao
incentivo de treinamento dos funcionrios?. Estas informaes devem ser usadas
como um ponto de partida para uma anlise mais profunda destes fatores de
influncia.
Como se estabeleceram pesos relativos (Wi) iguais para todos os fatores de
influncia de segurana, as taxas de peso WiRi apresentam os mesmos resultados
descritos no pargrafo acima.

6.2 Trabalhos Futuros
Como trabalhos futuros, sugere-se mais uma visita unidade estudada para
identificao mais profunda destes problemas encontrados e correo destes pontos
especficos. Aps a correo, sugere-se voltar ao passo trs da metodologia
proposta por Schnbeck (2007), alterando as questes das listas de verificao.
Prope-se incluir ao lado de cada pergunta da lista de verificao uma coluna de
verificao das evidncias, onde ser possvel, em alguma das questes, verificar a
veracidade das respostas.
Sugere-se tambm que esta anlise seja realizada periodicamente na unidade,
como uma ferramenta de melhoria contnua ou de monitoramento e que seja
aplicada tambm em outras unidades.
89

Seria interessante a verificao da variao dos valores de e wi, para analisar

como influencia no resultado final do clculo do SIL operacional.
importante tambm que a gerncia tente identificar outros fatores de influncia de
segurana, atravs da observao das atividades dirias realizadas e da operao
da unidade, que no foram includos neste trabalho e que podem estar presentes na
unidade e contribuir negativamente para a segurana da operao.

















90

Referncias Bibliogrficas

ABIQUIM, A Indstria qumica como pilar da sustentabilidade no Brasil, Abril, 2012.
Disponvel em: http://www.abiquim.org.br/atuacaoresponsavel/. Acesso em: 10 de
abril de 2012.

ABNT, NBR 14280 Cadastro de Acidentes do Trabalho Procedimento e
Classificao, Maro 2001.

ABU-KHADER M. M. Impact of human behavior on process safety management in
developing countries. Proc. Safety Environ. Protection, v.82, p.431-437, 2004

ANSI/ISA-84.01-1996. Application of Safety Instrumented Systems for the Process
Industries. Research Triangle Park, NC: ISA, 1996.

ANSI/ISA-91.00.01-2001. Identification of Emergency Shutdown Systems that are
Critical to Maintaining Safety in Process Industries, 2001.

ANSI/ISA-84.00.01-2004. Functional Safety: Safety Instrumented Systems for the
Process Industry Sector Parts 1, 2 and 3, ISA, NC: Research Triangle Park, 2004.

ATHERTON, J.; GIL, F. Incidents that Define Process Safety, Wiley-Interscience,
New York, 2008.

ATTWOOD, D.; KHAN, F.; VEITCH, B. Occupational Accident Models Where Have
We Been and Where Are We Going? Journal of Loss prevention in the Process
Industries, v. 19, p. 664-682, 2006.

AVEN, T.; HAUGE, S.; SKLET, S.; VINNEM, E. Methodology for Incorporation
Human and Organizational Factors in Risk Analysis for Offshore Installations,
International Journal of Materials & Structural Reliability, v. 4, No. 1, p.1-14, maro
2006.

BAUMONT, G.; MNAGE, F.; SCHNEITER, J.R.; SPURGIN, A.; VOGEL,
A. Quantifying Human and Organizational Factors in Accident Management using
Decision Trees: The HORAAM method, Reliability Engineering & System Safety,
v.70, No 2, p.113-124, 2000.

BOSCO, F. Segurana operacional adota gesto sobre barreiras de proteo para
manter riscos em nveis aceitveis, Revista Petro & Qumica - Segurana
Operacional A integridade do Processo, Edio 309, 2008.

CAMERA, M. Fatores Organizacionais que podem afetar o seu projeto. Abr.2010.
Disponvel em: <http://gerenciamentoestrategico.wordpress.com/2010/04/29/fatores-
organizacionais-que-podem-afetar-o-seu-projeto/>. Acesso em: 12 de novembro de
2011.

CHAME, L. M. Confiabilidade de Sistemas Instrumentados de Segurana: Anlise
Custo- Benefcio de alternativas para o atendimento ao SIL requerido em instalaes
91

industriais, Tese de Dissertao de Mestrado submetida a Coordenao dos

Programas de Ps- Graduao de Engenharia da UFRJ, Rio de Janeiro, Brasil 2007.

CHEMICAL Human Element - Maintenance and Inspection FM Global Property
Loss Prevention Data Sheets, p.09, Abril. 2011. Disponvel em:
http://www.fmglobal.com/fmglobalregistration/ViewCollection.aspx?name=Chemical -
Human Element.zip>. Acesso em: 05 maio de 2011.

CORREA, C. R. P.; JUNIOR, M. M. C. Anlise e Classificao dos Fatores Humanos
nos Acidentes Industriais, Revista Produo v.17, n.1 jan./abril 2007.

CRIANDO o ambiente da Qualidade e Produtividade. Disponvel em:
<http://www.mann-hummel.com/mhbr/index.html?iKeys=7.5.912.0.0>. Acesso em:
05 de setembro de 2011.

CROWL, D. A.; LOWAR, J. F. Chemical Process Safety Fundamentals with
Applications, 2 Edio, cap. 10, Prentice Hall PTR, New Jersey, 2002.

DANTAS, L. O. GNL, Disponvel em:
<http://www.gasnet.com.br/novo_gnl_descricao.asp>, Acesso em: 02 de novembro
de 2011.

DNV, Fatores Humanos e Cultura de Segurana, 2009. Disponvel em: <
http://www.dnv.com.br/industry/energy/services/she_risk_management/human_factor
s/>. Acesso em: 17 de maro de 2012.

DROGOUL, F. Revisiting the Swiss Cheese Model of Accident Eurocontrol
Experimental Centre, European Organisation for the Safety of Air Navigation, Frana,
Outubro de 2006.

DUARTE, R. L. Procedimento Operacional Padro - A Importncia de se Padronizar
tarefas nas BPLC, Curso de BPLC, Belm-PA, 2005. Disponvel em
<http://www.anvisa.gov.br/reblas/cursos/qualidade17/MP%20_apostila_%205%20-
%20final.pdf>. Acesso em: 15 de novembro de 2011.

EMBREY, D. E. Incorporating Management and Organizational Factors into
Probabilistic Safety Assessment. Reliability Engineering and System Safety, v. 38, p.
199-208, 1992.

FINKEL, V. S. et al. Instrumentao Industrial, 2. Edio, Intercincia, Rio de
Janeiro, 2006.

GAS Natural; Disponvel em
<http://www.gasnet.com.br/novo_gasnatural/gas_completo.asp>. Acesso em: 05 de
novembro de 2011.

GNL Vantagens; Disponvel em: <http://www.gaslocal.com.br/gnl_vantagens.html>.
Acesso em: 02 de novembro 2011.

92

GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification: Practical

Probabilistic Calculations, the Instrumentation, Systems and Automation Society,
USA, 2005.

GORDON, R. P. E. The Contribution of Human Factors to Accidents in the Offshore
Oil Industry, Reliability Engineering and System Safety, v.61, p.95-108, 1998.

GROENEWEG, J. Hazard Analysis: The accident causation model. In: STELLMANN,
J. M. (Ed) The ILO Encyclopaedia of Occupational Health and Safety, fourth edition.
ILO Publications, Geneva, 1998
GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems: Design, Analysis and
Justification, 2 Edio, the Instrumentation, Systems and Automation Society, USA,
2006.

GULDENMUND, F.; HALE, A. R; GOOSSENS, L; BETTEN, J.; DUIJM, N. J. The
Development of an Audit Technique to Assess the Quality of Safety Barrier
Management, Journal of Hazardous Material, v.130, p.234-241, 2006.

HALE, A. R.; GULDENMUND, F. W.; VAN LOENHOUT P. L. C. H.; OH J. I. H.
Evaluating Safety Management and Culture Interventions to Improve Safety:
Effective Intervention Strategies, Safety Science, v.48, p. 1026-1035, 2010.

HRING, H.-W. Industrial Gases Processing, Wiley-VCH Verlag GmbH & Co. KGaA,
Weinheim, 2008.

HURST, N. W.; YOUNG, S.; DONALD, I.; GIBSON, H.; MUYSELAAR, A. Measure of
Safety Management Performance and Attitudes to Safety at Major Hazard Sites,
Loss of Prevention Process Industry, v. 9, No. 2, p.161-172, 1996.

HURST, N. From Research to Practical Tools Developing Assessment Tools for
Safety Management and Safety Culture, Loss of Prevention Process Industry, v.10,
No 1, p. 63-66,1997.

IEC 61508, Functional Safety of electrical/ electronic/ programmable electronic
safety- related systems, 1 Edio, Genova: Switzerland, 1998.

IEC 61508, Functional Safety of electrical/ electronic/ programmable electronic
safety- related systems, Genova: Switzerland, 2000.

IEC 61511, Functional Safety Safety Instrumented Systems for the Process
industry sector, 1 Edio, Genova: Switzerland, 2003.

INSTRUES de Segurana, Meio Ambiente e Sade (SMS) para contratadas.
Disponvel em:<
http://www.sintesc.com/bib/instrucoes_seg_contratadas_petrobras.pdf>. Acesso em
06 de abril de 2011.

JACOBSSON, A.; SALES, J.; MUSHTAQ, F. A Sequential Method to Identify
Underlying Causes from Industrial Accidents Reported to the MARS Database,
Journal of Loss Prevention in the Process Industries, v. 22, pg. 197-203, 2009.
93

KIDNAY, A. J.; PARRISH, W. R. Fundamental of Natural Gas Processing, Taylor &
Francis Group, Boca Raton, 2006.

KLETZ, T. A. What Went Wrong? - Case Histories of Process Plant Disasters, 4
Edio, USA, Gulf Professional Publishing 1998.

LNG Explosion Rocks Cleveland; 2006. Disponvel em:
<http://cr4.globalspec.com/blogentry/408/October-20-1944-LNG-Explosion-Rocks-
Cleveland>. Acesso em: 05 de Novembro de 2011.
LNG EXPLOSION in Bloomfield kills 40, destroys Project. Staten Island Advance.
New York. USA. 2011. Disponvel em:
<http://www.silive.com/specialreports/index.ssf/2011/03/lng_explosion_kills_40_destr
oy.html>. Acesso em: 05 de Novembro de 2011.

MACDONALD, D. Practical Industrial Safety, Risk Assessment and Shutdown
Systems for Industry, 1 Edio, Newnes, London, 2004.

MARSZAL, E. M.; SCHARPF, E. W. Safety Integrity Level Selection: Systematic
Methods Including Layer of Protection Analysis, The instrumentation, Systems and
Automation Society, USA, 2002.

MEEL, A.; SEIDER, W. D. Analysis of Management Actions, Human Behavior, and
Process Reliability in Chemical Plants Part I: Impact of Management Actions,
Department of Chemical and Bimolecular Engineering, University of Pennsylvania,
Philadelphia, July 2007.

MIRANDA, V. A. A.; CABRAL, S. D.;. HADDAD, A. N. H. TRIPOD: Uma Ferramenta
de Identificao e Anlise de Riscos baseada nos Acidentes, Revista Ao
Ergonmica v. 1, no. 3, p. 9-20, 2002.

NORMA de Sistemas Instrumentados de Segurana para Brasileiros. Jan.2011.
Disponvel em
<www.exida.com/index.php/features/indepth/a_norma_de_sistemas_instrumentados
_de_seguranca_para_brasileiros>. Acesso em: 17 de outubro de 2011.

NUNES, MANUELINA PORTO Anlise de Risco no Processo de Avaliao de
Impactos Ambientais Universidade Federal da Paraba, Programa de Ps-
Graduao em Engenharia Urbana, Joo Pessoa, 2002.

IEN, K. A Framework for the Establishment of Organizational Risk Indicators.
Reliability Engineering and System Safety, v.74, p.147167, 2001.

PAPAZOGLOU, I. A.; Aneziris, O. On the Quantification of Effects of Organizational
and Management Factors in Chemical Installations, Reliability Engineering & System
Safety, v.63, p.33-45, 1999.

PAT-CORNELL, M. E.; MURPHY, D. M. Human and Management Factors in
Probabilistic Risk Analysis: The SAM Approach and Observations from recent
applications, Reliability Engineering and System Safety, v.53, p.115-126, 1996.
94

PAT-CORNELL, M. E. Learning from The Piper Alpha Accident: A Post-Modern
Analysis of Technical and Organizational Factors. Risk Analysis, v.13, p. 215-232,
1993.

PERTUSIER, Rafael R. Da expanso do GNL e da Evoluo da Indstria do Gs
Natural. In: CONGRESSO BRASILEIRO DE P&D EM PETRLEO E GS, 2, 2003,
Rio de Janeiro. Anais eletrnicos Rio de Janeiro, 2003. Disponvel em
<http://www.portalabpg.org.br/PDPetro/2/8047.pdf>. Acesso em 16 Setembro de
2011.
PETROBRAS, N-2595 Critrios de Projeto e Manuteno para Sistemas
Instrumentados de Segurana em Unidades Industriais, Brasil, So Paulo, SP 1997.

PROCESS Hazard Analysis Evaluation of External Forces, USA, 1999. Disponvel
em: <www.acusafe.com/Checklist/checklist-facilitysiting.htm>. Acesso em: 12 julho
de 2011.

REASON, J. Human Error: Models and Management. British Medical Journal, v.320
(7237), p. 768-770, 18 maro, 2000.

REASON, J. Human Error. New York: Cambridge University Press, 1990.

RILEY, T.; RILEY, H. LNG History and LNG Accidents; Disponvel em:
<http://www.timrileylaw.com/LNG.htm>. Acesso em: 05 de Novembro de 2011.

RONCEROS, N. G. Simulao do Processo de Liquefao de Gs Natural APCI
C3MR. Orientador: Sergio Leal Braga, Rio de Janeiro, 2008. Dissertao (Mestrado
em Engenharia Mecnica), Pontifcia Universidade Catlia do Rio de Janeiro PUC-
RJ, Outubro de 2008.

SAFETY History of International LNG Operations. TD-02109. Page 1 of 23 - CHIV
Corporation's, Houston, Texas, March 2009. Disponvel em: <http://www.ch-
iv.com/pdfs/Safety%20History%20of%20International%20LNG%20Operations%20_
Mar%202009_.pdf>. Acesso em: 09 de setembro de 2011.

SALAS, E.; WILSON, K. A.; BURKE, W. C. S.; WIGHTMAN, D. C.; HOWS, W. R. A
Checklist for Crew Resource Management Training. Human Factors and Ergonomics
Society, v. 14, N 2, Spring 2006.

SALVI, O.; DEBRAY, B. A global view on ARAMIS, A Risk Assessment Methodology
for Industries in the Framework of the SEVESO II directive, Journal of Hazardous
Materials, v.130, p. 187-199, 2006.

SHAPELL, S.; WIEGMANN, D. The Human Factors Analysis and Classification
System (HFACS). Federal Aviation Administration, Office of Aviation Medicine Report
N DOT/FAA/AM-00/7. Office of Aviation Medicine. Washington, DC, 2000.

SCHNBECK, M. Human and Organizational Factors in the Operational Phase of
Safety Instrumented Systems: A New Approach, Master Thesis, Eindhoven
95

University Technology/ Department of Technology Management/ Section of Quality

and Reliability Engineering, 2007.

SIL, SIS, Shutdown. Revista Controle & Instrumentao, ed. Valete, So Paulo, n
104, Mai. 2005. Disponvel em
<www.editoravalete.com.br/site_controleinstrumentacao/arquivo/ed_104/cv5.html>.
Acesso em: 17 de outubro de 2011.

SIQUEIRA, F. Organizao & Mtodos I. Rio de Janeiro. 2010. Disponvel em:
<http://www.uff.br/sta/textos/fs005.pdf>. Acesso em: 03 de novembro de 2011.

SMITH, D. J.; SIMPSON, K. G. L. Functional Safety: A Straightforward Guide to
Applying IEC 61508 and Related Standards, 2 Edio, Elsevier Butterworth-
Heinemann, Oxford, 2004.

SOPPA, E. L. Sistema Tolerante a falhas utilizando Windows CE, Focando
Controladores Industriais, Programa de Ps-Graduao em Engenharia Eltrica
submetida ao Departamento de Engenharia Eltrica, Setor de Tecnologia,
Universidade Federal do Paran da Universidade Federal do Paran, Brasil 2009.

SOUZA, C. R. C. Anlise e Gerenciamento de Riscos de Processos Industriais.
Disponvel em:
<www.segurancanotrabalho.eng.br/download/Apostila_de_Gerenciamento_de_Risco
s.pdf>. Acesso em: 07 de setembro de 2011.

TORRES-ECHEVERRA, A.C.; MARTORELL, S.; THOMPSON, H. A. Modeling and
Optimization of Proof Testing Policies for Safety Instrumented Systems, Reliability
Engineering and System Safety, v. 94, p. 838 854, 2009.

UNDERWRITERS Laboratories Inc, Understanding Key Changes in IEC 61508:
2010, Disponvel em: <
http://www.ul.com/global/documents/offerings/industries/powerandcontrols/UL_White
Paper_2nd_Edition_IEC61508.pdf>. Acesso em: 15 de outubro de 2011.

VERDE, M. J. C. Auditoria em Segurana, Disponvel em: <
http://www.viaseg.com.br/artigos/artigo_marcy_030901.htm>. Acesso 17 de maro
de 2012.

WESTFALL-LAKE, P. Human Factors: Preventing Catastrophic Human Error in 24-
Hour Operations, Process Safety Progress, v.19, N1, p.9-12, 2000.

WHITE Martins Gases Industriais, Ficha de Informaes de Segurana de Produtos
Qumicos da, Produto: Gs Natural Liqefeito FISPQ n. P-4880-A, Maro 2004.

WOODWARD, J. L.; PITBLADO, R. M. LNG Risk Based Safety - Modeling and
Consequence Analysis, Wiley, 2010.



96

Anexo I
Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
I Gerenci amentodeManuteno SNNA
1.2Exi steal gumpl anodemanutenopreventi vaporescri tonauni dadei ndustri al ?
1.3Oprogramademanutenopreventi vasegui do?
1.4Osresul tadosdostestesdemanutenosomanti dosnauni dadei ndustri al ?
1.12Agernci ai nvestenamanutenopreventi vadosequi pamentos?
1.1Foramdesi gnadasaspessoasoudepartamentosresponsvei sporgerenci arafasedeoperaoda
uni dadei ndustri al ?
1.11Quandoumprobl emasri oencontradoduranteumai nspeodefunci onamentodoequi pamento/
di sposi ti vo/vl vul a,asaesnecessri assodi scuti dascomossupervi soresresponsvei s?
1.5Osresul tadoscontm:
a)Datadai nspeodefunci onamentoreal i zadanoequi pamento/di sposi ti vo?
b)Nomedapessoaqueconduzi uotestedefunci onamentodoequi pamento/di sposi ti vo?
c)I denti fi caodoequi pamento/di sposi ti vosendotestado?
d)Resul tadodotestedefunci onamentodoequi pamento/di sposi ti vo?
1.6Durantemanutenopreventi va,apl antadesl i gada?Emcasonegati vo,apl antamanti daemestado
seguro?
1.7Opl anodemanutenopreventi vai ncl ui osdi sposi ti voscrti cosdesegurana,conformei ndi cadonas
SAs39e40,i ncl usi vesegueosi nterval osdetesteestabel eci dos?
(SA39/40soSi stemasCrti cosdeOperaoeParmetrosCrti cosdeOperaodesenvol vi dosnafasedo
projetopel oEngenhei rodeProcessodoProjeto).
1.8Oprogramademanutenoi ncl ui i nspeesperi di casdosequi pamentos,vl vul as,i nstrumentao
paraveri fi caodei rregul ari dadesounecessi dadederevi so?
1.9Aspl acascontendotagsdeequi pamentosevl vul aseassi nal i zaesdesegurana(como
necessi dadedepermi ssoespeci al detrabal hooupressuri zaodogasoduto)estoi ncl udasnopl anode
manutenopreventi vadauni dadei ndustri al esoatual i zadosquandonecessri o?
1.10Exi steumprogramadei nspeo,testeemanutenoparaossi stemasdecontrol e/prevenode
perdasdepropri edades(como:si stemadespri nkl er,CO2,recargadeexti ntoresdei ncndi o)?

97

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
I I Procedi mentos SNNA
2.3Exi stemprocedi mentosparal i mi taroacessoapenasapessoasautori zadasdurantemanuteno?
2.4Osprocedi mentosdemanutenoeoperaosorevi stosperi odi camente?
2.5Todososprocedi mentosoperaci onai sestoadequadamentedocumentados?
2.6Osprocedi mentossodi stri budosparatodososempregadosqueapl i camesteprocedi mento?
2.1Exi stemprocedi mentosparadocumentarecorri gi rqual querdefi ci nci anaespeci fi cao,processoou
programaorevel adoduranteumteste?
2.2Osprocedi mentosdemanutenososufi ci entementedetal hadosedefci l entendi mento,deformaa
nodei xarnenhumai nterpretaooudeci soi mportanteparaopessoal damanuteno?
2.7Exi steal gumprocedi mentoparasubsti tui oi medi atadeumequi pamento/si stemaconsi derado
crti coavari adoqueafeteaseguranadaoperao?
2.8Osprocedi mentosdepermi ssodetrabal hoespeci al (PTE)soapl i cadosnauni dadequando
necessri o?
2.9Auni dadei ndustri al possui umprocedi mentoparacomuni cao,i nvesti gaoedi vul gaode
aci dentes/i nci dentes?
2.10Exi stemprocedi mentosdocumentadosparamanterosi stemadeseguranaquandoasfunesde
seguranasobypassadas?

98

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
I I I Condi esdereforodeerro SNNA
3.1Evi tasemantermai sdeumprocedi mentoparaumdetermi nadoequi pamentodi sponvel nareade
trabal ho?
3.2Aanl i sedeperi gosdauni dadei ndustri al estatual i zadacomareal i dadedapl anta?
3.5Odesenhodecl assi fi caoel tri cadereasdauni dadeestatual i zado?
3.6Aduraodoturnodetrabal hoapropri ada,baseadonocansaodotrabal ho?
3.9Exi stei l umi naosufi ci enteparaaoperaonauni dadei ndustri al ,i ncl usi venoi te?
3.10Atemperaturaambi entedareadetrabal honormal menteconfortvel ?
3.11Orudomanti donumnvel tol ervel ?
3.13Osdocumentoscomi nformaesul trapassadassojogadosnol i xo?
3.14Evi taseexcessoderesponsabi l i dadeouacmul odefuno?
3.3Oprogramademanutenoeomanual deoperaodauni dadeestoatual i zadosemrel ao
real i dadedapl anta?
3.4Osfl uxogramasdeprocesso(P&I D)eol ayoutdauni dadeestoatual i zadoscomareal i dadeda
uni dadei ndustri al ?
3.7Casoosoperadorestenhamfei toal gumamodi fi caonodi spl ay,equi pamentooucontrol espara
mel horarsuasnecessi dades,essasmodi fi caessoregi stradasformal menteerevi stascomtodos?
3.8Todososequi pamentosi mportantes(ex.:vasos,vl vul as,i nstrumentos)estocl araecorretamente
i denti fi cadosenocontmi nformaesambguas?
3.12Casoal gumprobl ema/defei tosejaencontradoemal gumaferramentaouequi pamento,el aposta
emdesusoouencami nhadaparamanutenooual gumasi nal i zaopostasobreoequi pamento?





99

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
I VOrgani zao,ArrumaoeLi mpezadareadeTrabal ho: SNNA
4.1Asreasdetrabal hogeral mentesomanti dasl i mpaseorgani zadas?
4.3Asferramentassoarmazenadasemseudevi dol ugarapsauti l i zao?
4.5Derramamentos/vazamentosdel eodemqui nas/equi pamentossol i mposi medi atamente?
4.6Osequi pamentosdeproteo/combatecontrai ncndi oestodesobstrudos?
4.8Asmqui nas/equi pamentosestol i vresdemateri ai soupeasdesnecessri as?
4.9Todasasproteesdasmqui nas/equi pamentosestoemseusdevi dosl ugares?
4.10Osavi sosdeseguranaafi xadosestoembomestado?
4.12fei todescartedosi tens/objetossemuti l i dadedareadetrabal ho?
4.13Exi stereadel i mi tadaouproi bi dofumarnareadeoperaoeostrabal hadoresrespei tami sso?
4.4Asreasdetrabal hoestodesobstrudasesemexcessoderefugoeentul hoeaspassagensso
manti dasl i vres?
4.7Nareadeestocagem,aspi l hasdemateri ai ssobemfei tas,sempossi bi l i dadedesedesl ocarem?
4.11Exi steummtododei denti fi caoparagaranti rquesomenteopessoal autori zadoentrenauni dade
i ndustri al ?
4.2Asreasdearmazenamentodei nfl amvei secombustvei ssomanti dasl i mpasesementul hoseo
l ocal arejado?






100

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
VCompati bi l i dadedosObjeti vos SNNA
5.1Todososfunci onri osestocomprometi doscomoprogramadegerenci amentodesegurana?
5.2Exi stesuportedogerenci amentocomrel aoaoi ncenti vodetrei namentodosfunci onri os?
5.3Ostrabal hadoresparti ci pamdosi stemadegerenci amentodeseguranadapl anta?
5.5Osfunci onri osreal i zamtrei namentosquandosol i ci tados?
5.10Quandoal gumprobl emacomuni cadochefi a,achefi aageadequadamenteparacorri gi l o?
5.11Ostrabal hadoressoencorajadosacomuni carqual queri nci dente/aci denteoufal hadeprocesso?
5.12Auni dadei ndustri al temumprogramaregul ardedebatedesegurana?
5.9Quandoumtrabal hadorobservaal gumcomportamentoderi scodeoutrotrabal hador,el ecomuni ca
chefi ai medi ata?
5.4proi bi daareal i zaodemanutenodeequi pamentooui nstrumentoporfunci onri ono
autori zado?
5.8Soreal i zadasreuni esperi di cascomoutrosgerentes/di retoresparacomparti l hari nformaesde
operaodaspl antas?
5.6Exi stemmei osdeveri fi carqueosreparossoreal i zadosemtempoconsi stentecomopl ano
estabel eci do?
5.7Agernci aoual gumdesi gnadoreal i zavi si tasregul aresreadetrabal hoparadi scuti raGernci ade
Ri scoscomseuscol aboradores,i denti fi careregi strarnovasexposi esereduzi rfal hasdecomuni cao?






101

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
VI Comuni cao SNNA
6.2Osequi pamentosdecomuni caosofci l eadequadamenteacessvei s?
6.3Osmei osdecomuni caoentreosoperadoresestoembomestado,semi nterfernci a?
6.5Ostrabal hadoressoi nformadosdequal quermudananasreasdeprocesso?
6.11Asori entaesdeumaati vi dadesopassadasaostrabal hadoresdeformacl araedetal hada?
6.12Exi steumbomentendi mentoentreosfunci onri osquel i derameosqueexecutamasati vi dades?
6.1Quandonecessri o,devi dograndedi stnci aentreumoumai strabal hadores,equi pamentosde
comuni cao(comoporexempl osrdi os)souti l i zados?
6.6Ostrabal hadoresenvol vi dossoi nformadosemcasodeal gumaal teraotemporri anareade
processo?
6.7Durantebl oquei oeeti quetagemdeal gumsi stemanareadeprocesso,todosostrabal hadores
compreendemvi sual mentequenodevemmexernosi stemabl oqueado?
6.8Casoumareaestejai sol adaesi nal i zadatodososfunci onri oscompreendemvi sual mentequeno
devementrarnel a?
6.9Quandoocorreal gumprobl emaoufal haduranteareal i zaodaati vi dade,oexecutorcomuni ca
supervi soi medi atamente?
6.10Duranteumacomuni cao,buscasemi ni mi zarouatel i mi narosdesvi osdeatenoparaquese
obtenhaumbomaprovei tamentodasi nformaestransmi ti das?(ex.:nocomuni carnofi mdoturnode
trabal ho)
6.4Orudoambi entedauni dadei ndustri al manti doaumnvel quenoi nterferenacomuni caoentre
osoperadores?






102

Funo:
Data:
Horri odoI nci odaEntrevi sta: Horri odoFi mdaEntrevi sta:
VI I Trei namento SNNA
7.2Osoperadorespassamporreci cl agemdetrei namento?
7.3Quandoumfunci onri onovocontratado,estetrei nadonaoperaoantesdei ni ci arasati vi dades?
7.4Exi steal gummei odemedi rseooperadoraprendeueestaptoparai ni ci arasati vi dades?
7.5Casomudeal gumacondi odeprocesso,umnovotrei namentoforneci doaosoperadores?
7.8Osoperadoresforamtrei nadosadequadamentenamanutenodauni dadei ndustri al ?
7.9Osprofi ssi onai ssotrei nadosparaatuaremsi tuaodeemergnci a?
7.10Quandoumfunci onri omudadecargoel etrei nadonassuasnovasati vi dades?
7.11Emcasodenovoequi pamentoounovatecnol ogi ai nstal ada,osfunci onri os foram/sotrei nados
paratal ?
7.1Osfunci onri osso/foramtrei nadosadequadamentenosprocedi mentosdeoperaoemanuteno
dosi stema?
7.6Quandoumprocedi mentooperaci onal revi stotodosostrabal hadoresqueapl i camaquel e
procedi mentosoretrei nadosnonovoprocedi mento?
7.7Osempregadosestotrei nadosnosprocedi mentosdebl oquei oeeti quetagemei stoapl i cado
duranteamanuteno?